在 过 去 十 年 里 ， 围 绕 计算 、 存 储 、 网 络 三 大 基础 服务 ， 


自 云 计 算 步 入 市 场 算 起 ， 新 一 代 计算 技术 刚好 走 过 了 第 一 个 十 年 。 


信息 技术 的 门槛 ， 让 “互联 网 +” 成 为 可 能 。 


如 果 说 软件 定义 


第 2 版 前 言 


容器 技术 自身 在 快速 演进 的 同时 ， 笔 者 也 很 欣喜 地 看 到 ， 围 绕 着 容器 的 开源 生态 系统 越发 繁盛 。Docker 三 剑客 Machine、Compose、Swarm 相 辅 相 成 ， 集 团 作战 ; 搜索 巨人 则 推出 Kubernetes， 


新 一 代 容 器 化 应 
力 。 


集群 平台 ; 


在 第 2 版 中 ， 笔 者 参照 容器 技术 最 新 进展 对 全 书 内 容 进行 了 修订 完善 ， 并 增加 了 第 四 部 分 专门 介绍 与 容器 相关 的 知名 开源 项 目 ， 利 


成 书 之 际 ，Docker 发 布 了 1.13 版 本 ， 带 来 了 更 稳定 的 性 能 和 更 多 有 趣 的 特性 。 


最 后 ，IBM 中 国 研究 院 的 刘 天 成 、 李 玉 博 等 帮忙 审阅 了 部 分 内 


在 一 台 服 务 器 上 同时 运行 一 百 个 虚拟 机 ， 
现实 。 


多 年 的 有 
些 问 题 ， 开 源 社区 推出 过 不 少 优秀 的 工具 。 


再 次 感谢 容器 技术 ， 感 谢 开源 文化 ， 希 望 开源 技术 能 得 


到 更 多 的 支持 和 贡献 ! 


容 ， 在 此 表达 最 深厚 的 感谢 ! 


围绕 敏捷 服务 和 规模 处 理 两 大 核心 诉求 ， 新 的 概念 、 模 式 和 工具 争 相 涌现 。 这 些 创新 的 开源 技术 成 果 ， 提 高 了 整个 信息 产业 的 生产 效率 ， 降 低 了 


络 (SDN) 和 网 络 功 能 虚拟 化 (NFV) 让 互联 网 络 的 虚拟 化 进入 了 崭新 的 阶段 ， 那 么 容器 技术 的 出 现 ， 毫 无 疑问 称 得 上 计算 虚拟 化 技术 的 又 一 大 创新 。 从 Linux Container 到 


er， 看 似 是 计 算 技术 发 展 的 一 小 步 ， 却 是 极为 重要 的 历史 性 突破 。 容 器 带 来 的 不 仅仅 是 技术 体验 上 的 改进 ， 更 多 的 是 新 的 开发 模式 、 新 的 应 


第 1 版 前 言 


发 和 运 维 (DevOps) 经 历 中 ， 笔 者 时 常会 碰 到 这 样 一 个 困境 : 
这 些 方案 虽然 在 某 些 程度 上 


角 能 解决 部 分 


让 作为 企业 最 核心 资源 的 工程 师 们 花费 大 量 的 时 间 ， 去 解决 各 种 环境 和 配置 引发 的 gug， 这 真 的 正常 吗 ? 


还 有 Mesos、CoreOS， 以 及 其 他 众多 的 开源 工具 。 这 些 工具 的 出 现 ， 弥 补 了 现 有 容器 技术 栈 的 不 足 ， 极 大 地 丰富 了 容器 技术 的 应 


场景 、 新 的 业务 可 能 .…… 


领航 
场景 ， 增 强 了 容器 技术 在 更 多 领域 的 竞争 


肯定 会 被 认为 是 痴人说梦 。 而 在 一 台 服 务 器 上 同时 运行 一 干 个 Docker 容 器 ， 这 已 经 成 为 现实 。 在 计算 机 技术 高 速 发 展 的 今天 ， 


好 这 些 优秀 的 开源 平台 ， 可 以 更 好 地 在 生产 实践 中 受益 。 


杨 保 华 


2016 年 12 月 于 北京 


的 天 方 夜 谭 正 在 一 个 个 变 成 


户 的 需求 越 来 越 多 样 ， 系 统 的 规模 越 来 越 庞大 ， 运 行 的 软件 越 来 越 复杂 ， 环 境 配置 问题 所 造成 的 麻烦 层出不穷 .… 为 了 解决 这 
“燃眉之急 ”， 但 是 始终 没有 一 种 方案 能 带 来 “一 劳 永 逸 ”的 


效果 。 


回顾 计算 机 的 发 展 历程 ， 最 初 ， 程 序 设计 人 员 需 要 直接 操作 各 种 枯燥 的 机 器 指令 ， 编 程 效率 之 低 可 想 而 知 。 高 级 语言 的 诞生 ， 将 机 器 指令 的 具体 实现 成 功 抽象 出 来 ， 从 此 揭 开 了 计算 机 编程 效率 突 飞 猛 
进 的 大 时 代 。 那 么 ， 为 什么 不 能 把 类 似 的 理念 (抽象 与 分 层 ) 也 引入 到 现代 的 研发 和 运 维 领域 呢 ? 


Docker 无 疑 在 这 一 方向 上 迈 出 了 具有 革新 意义 的 一 步 


。 笔 者 在 刚 接触 Docker 时 ， 就 为 它 所 能 带 来 的 敏捷 工作 流程 而 深 深 吸引 ， 也 为 它 能 充分 


出 现 ， 必 将 给 DevOps 技 术 ， 甚 至 整个 信息 技术 产业 的 发 展 带 来 深远 的 影响 。 


笔者 曾 尝试 编写 了 介绍 Docker 技 术 的 中 文 开源 文档 。 短 短 一 个 月 的 时 间 ， 


切 需求 ， 同 时 也 倍 感 压力 ， 生 怕 其 中 有 不 妥 之 处 ， 影响 了 大 家 学 习 和 推广 Doc 


书 ”的 帮助 下 ,终于 有 了 现在 读者 手中 的 这 本 书 。 


收 到 了 来 


全 球 各 个 地 区 超过 20 万 次 的 阅读 量 利 


与 很 多 技术 类 书籍 不 同 ， 本 书 中 避免 一 上 来 就 讲述 元 长 的 故事 ， 


正 可 以 上 手 的 实战 指南 。 


本 书 在 结构 上 分 为 三 大 部 分 。 第 一 部 分 是 Docker 技 术 的 基础 知识 介绍 ， 这 部 分 将 让 读者 对 Docker 技 术 能 做 什么 有 个 全 
中 的 高 效 秘 决 ; 第 三 部 分 将 讨论 一 些 偏 技术 环节 的 高 级 话题 ， 试 医 


实际 应 


而 是 试 


让 读者 理解 Docker 在 设计 上 的 工程 美学 。 最 后 的 附录 归纳 了 应 


求 选择 阅读 重点 。 


书 


本 书 在 写作 过 程 中 参考 了 官方 网 站 上 的 部 分 文档 ， 并 得 到 了 DockerPool 技 术 社 


要 由 杨 保 华 和 戴 王 剑 主笔 ， 曹 亚 仑 写作 了 编程 开发 和 实践 之 道 章节 。 


挖掘 云 计 算 资 源 的 效能 而 兴奋 不 已 。 我 们 深信 ，Docker 的 


全 五 星 的 好 评 。 这 让 我 们 看 到 国内 技术 界 对 于 新 兴 开 源 技术 的 敏锐 嗅觉 和 迫 


er 技术 的 热情 。 在 开源 文档 扎 写 过 程 中 ， 我 们 一 直 在 不 断 思考 ， 在 生产 实践 中 到 底 怎 么 


图 深入 浅 出 、 直 奔 主 题 ， 在 最 短 时 间 内 让 读者 理解 和 掌握 最 关键 的 技术 点 ， 


Docker 才 是 合理 的 ? 在 “ 华 


并 且 配 合 实际 操作 案例 和 精炼 的 点 评 ， 给 读者 提供 真 


局 的 认识 ; 第 二 部 分 将 


体 讲解 各 种 典型 场景 的 应 用 案例 ， 供 读者 体会 Docker 在 


Dock 


区 网 友 们 的 积极 反馈 和 支持 ， 在 此 一 并 感谢 ! 


er 的 常见 问题 和 一 些 常用 的 参考 资料 。 读 者 可 根据 自身 需 


成 稿 之 际 ，Docker 已 经 发 布 了 增强 安全 特性 的 1.3.2 版 本 。 袁 心 祝愿 Docker 及 相关 技术 能 够 快速 成 长 和 成 熟 ， 让 众多 IT 从 业 人 员 的 工作 和 生活 都 更 加 健康 、 更 加 美好 ! 


初 识 容器 与 Docker 


核心 概念 与 安装 配置 


使 用 Docker 镜 像 


操作 Docker 容 器 


第 一 部 分 


基础 入 门 


作者 于 2014 年 11 月 


' 第 5 章 访问 Docker 仓 库 


“ 第 6 章 Docker 数 据 管理 


“第 7 章 端口 映射 与 容器 互联 


"第 8 章 ”使 用 Dockerfile 创 建 镜像 


本 部 分 共有 8 章 内 容 ， 笔 者 将 介绍 Docker 和 容器 的 相关 基础 知识 。 


第 1 章 介绍 Docket 的 前 世 与 今生 ， 以 及 它 与 现 有 的 虚拟 化 技术 ， 特 别 是 Linux 容 器 技术 的 关系 。 


第 2 章 介 绍 Docket 的 三 大 核心 概念 ， 以 及 如 何在 常见 的 操作 系统 环境 中 安装 Docker。 


第 3 章 到 第 5 章 通 过 具体 的 示例 ， 讲 解 使 用 Docker 的 常见 操作 ， 包 括 镜像 、 容 器 和 仓库 。 


第 6 章 训 析 如 何在 Docker 中 使 用 数据 卷 来 保存 持久 化 数据 。 


第 7 章 介绍 如 何 使 用 端口 映射 和 容器 互联 来 方便 外 部 对 容器 服务 的 访问 。 


第 8 章 介绍 如 何 编写 Dockertfile 配 置 文件 ， 以 及 使 用 Dockerfile 来 创建 镜像 的 具体 方法 和 注意 事项 。 


如 果 说 主机 时 代 大 家 比拼 的 是 单个 服务 器 物理 性 能 (如 CPU 主 频 和 内 存 ) ， 那 么 在 云 时 代 ， 最 为 看 重 的 则 是 凭借 虚拟 化 技术 所 构建 的 集群 处 理 能 力 。 


伴随 着 信息 技术 的 飞速 发 展 ， 虚 拟 化 技术 早已 经 广泛 应 用 到 各 种 关键 场景 中 。 从 20 世 纪 60 年 代 IBM 推 出 的 大 型 主机 虚拟 化 ， 到 后 来 以 Xen、KVM 为 代表 的 虚拟 机 虚拟 化 ， 再 到 现在 以 Docker 为 代表 的 
容器 技术 ， 虚 拟 化 技术 自身 也 在 不 断 进 行 创 新 和 突破 。 


传统 来 看 ， 虚 拟 化 既 可 以 通过 硬件 模拟 来 实现 ， 也 可 以 通过 操作 系统 软件 来 实现 。 而 容器 技术 则 更 为 优雅 ， 它 充分 利用 了 操作 系统 本 身 己 有 的 机 制 和 特性 ， 可 以 实现 远 超 传统 虚拟 机 的 轻 量 级 虚拟 化 。 
因此 ， 有 人 甚至 把 它 称 为 “新 一 代 的 虚拟 化 ”技术 ， 并 将 基于 容器 打造 的 云 平台 亲切 地 称 为 “容器 云 ”。 


Docker 毫 无 疑问 正 是 众多 容器 技术 中 的 佼佼 者 ， 是 容器 技术 发 展 过 程 中 炊 眼 的 一 抹 亮 色 。 那 么 ， 什 么 是 Docker? 它 会 带 来 哪些 好 处 ? 它 跟 现 有 虚拟 化 技术 又 有 何 关系 ? 


本 章 首先 会 介绍 Docker 项 目的 起 源 和 发 展 过 程 ， 之 后 会 为 大 家 剖析 Docker 和 相关 容器 技术 ， 以 及 它 在 DevOps 等 场景 带 来 的 巨大 便利 。 最 后 ， 还 将 阐述 Docker 在 整个 虚拟 化 领域 中 的 技术 定位 。 


Docker 是 基于 Go 语言 实现 的 开源 容器 项 目 ， 诞 生 于 2013 年 年 初 ， 最 初 发 起 者 是 dotCloud 公 司 。Docker 自 开源 后 受到 广泛 的 关注 和 讨论 ， 目 前 已 有 多 个 相关 项 目 (包括 Docker 三 剑客 、Kubernetes 
等 ) ， 逐 渐 形 成 了 围绕 Docker 容 器 的 生态 体系 。 


由 于 Docker 在 业界 造成 的 影响 力 实在 太 大 ，dotCloud 公 司 后 来 也 直接 改名 为 Docker Inc， 并 专注 于 Docker 相 关 技 术 和 产品 的 开发 。 


What is Docker? Solutions GetDocker Pricing Open Source Company 


BUILD, SHIP, RUN 


Docker is the world's leading software containerization platform 


Get Started with Docker 


图 1-1 Docker 官 方 网 站 


Docker 项 目 已 加 入 了 Linux 基 金 会 ， 并 遵循 Apache2.0 协 议 ， 全 部 开源 代码 均 在 https://github.com/docker/docker 上 进行 维护 。 在 Linux 基 金 会 最 近 一 次 关于 “最 受 欢迎 的 云 计算 开源 项 目 ”的 调查 
中 ，Docker 仅 次 于 2010 年 发 起 的 Openstack 项 目 ， 并 仍 处 于 上 升 趋势 。 


现在 主流 的 Linux 操 作 系 统 都 已 经 支持 Docker。 例 如 ， 红 帽 公司 的 RHEL 6.5/CentOS 6.5 往 上 的 操作 系统 、Ubuntu 14.04 往 上 的 操作 系统 ， 都 已 经 在 软件 源 中 默认 带 有 Docker 软 件 包 。Google 公 司 宣 
称 在 其 PaaS (Platform as a Service) 平台 及 服务 产品 中 广泛 应 用 了 Docker 容 器 。IBM 公 司 跟 Docker 公 司 达成 了 战略 合作 伙伴 关系 。 微 软 公司 在 其 云 平台 Azure 上 加 强 了 对 Docker 的 支持 。 公 有 云 提供 商 


亚马逊 也 推出 了 AWS EC2 Container 服 务 ， 提 供 对 Docker 和 容器 业务 的 支持 。 


Docker 的 构想 是 要 实现 “Build，Ship and Run Any App，Anywhere” ， 即 通过 对 应 


理 ， 达 到 应 用 组 件 “ 一 次 封装 ， 到 处 运行 ”的 目的 。 这 里 的 应 用 组 件 ， 既 可 以 是 一 个 Web 应 用 、 


的 封装 (Packaging) 、 分 发 (Distribution) 、 部 署 (Deployment) 、 运 行 (Runtime) 生命 周期 进行 管 
一 个 编译 环境 ， 也 可 以 是 一 套数 据 库 平台 服务 ， 甚 至 是 一 个 操作 系统 或 集群 。 


基于 Linux 平 台 上 的 多 项 开源 技术 ，Docker 提 供 了 高 效 、 敏 捷 和 轻 量 级 的 容器 方案 ， 并 支持 部 署 到 本 地 环境 和 多 种 主流 云 平台 。 可 以 说 ，Docker 首 次 为 应 用 的 开发 、 运 行 和 部 署 提供 了 “一 站 式 ” 的 实 


解决 方案 。 


2.Linux 容 器 技术 一 一 巨人 的 肩膀 


跟 大 部 分 新 兴 技术 的 诞生 一 样 ，Docker 也 并 非 “ 从 石头 缝 里 蹦 出 来 的 ”， 而 是 站 在 前 人 的 


IBM DeveloperWorks 网 站 关于 容器 技术 的 描述 十 分 准确 : “容器 有 效 地 将 由 单个 操作 系统 管理 的 资源 外 


既 不 需要 指令 级 模拟 ， 也 不 需要 即时 编译 。 容 器 可 以 在 核心 CPU 本 地 运行 指令 ， 而 不 需要 任何 专门 的 解释 


当然 ，LXC 也 经 历 了 长 期 的 演化 。 最 早 的 容器 技术 可 以 追溯 到 1982 年 Unix 系 列 操作 系统 上 的 chroot 工 
Sun Solaris 操 作 系统 上 的 Solaris Containers (2004 年 发 布 ) ，FreeBSD 操 作 系 统 上 的 FreeBSD jail (2000 生 


请 膀 上 ， 其 中 最 重要 的 就 是 Linux 容 器 (Linux Containers，LXC) 技术 。 


分 到 孤立 的 组 中 ， 以 更 好 地 在 孤立 的 组 之 间 平衡 有 冲突 的 资源 使 用 需求 。 与 虚拟 化 相 比 ， 这 样 


几 制 。 此 外 ， 也 避免 了 准 虚拟 化 (paravirtualization) 和 系统 调用 蔡 换 中 的 复杂 性 。” 


在 LXC 之 前 ， 这 些 相关 技术 经 过 多 年 的 演化 已 经 十 分 成 熟 和 稳定 ， 但 是 由 于 种 种 原因 ， 它 们 并 没有 被 很 好 : 
需要 先 手动 给 操作 系统 打上 特定 的 内 核 补丁 方 可 使 用 ， 而 且 不 同 版 本 并 不 一 致 。 类 似 的 困难 造成 在 很 长 一 段 时 


3. 从 Linux 容 器 到 Docker 


后 来 LXC 项 目 借鉴 了 前 人 成 熟 的 容器 设计 理念 ， 并 基于 一 系列 新 引入 的 内 核 特性 ， 实 现 了 更 具 扩 | 
量 级 容器 技术 的 事实 标准 。 从 技术 层面 来 看 ，LXC 已 经 趟 过 了 绝 大 部 分 的 “ 坑 ”， 完 成 了 容器 技术 实 


直到 今天 ， 主 流 的 Unix、Linux 操 作 系统 仍然 支持 和 带 有 该 工具 ) 。 早 期 的 容器 实现 技术 包括 


左右 出 现 ) ， 以 及 GNU/Linux 上 的 Linux-VServer 和 和 OpenVZ。 


也 集成 到 主流 的 Linux 内 核 中 ， 用 户 使 用 起 来 并 不 方便 。 例 如 ， 如 果 用 户 要 使 用 OpenVZ 技 术 ， 


间 内 ， 这 些 优秀 的 技术 只 流传 于 技术 人 员 的 小 圈子 中 。 


展 性 的 虚拟 化 容器 方案 。 更 加 关键 的 是 ，LXC 终 于 被 集成 到 了 主流 Linux 内 核 中 ， 进 而 成 为 了 Linux 系 统 轻 


在 LXC 的 基础 上 ，Docker 进 一 步 优 化 了 容器 的 使 用 体验 ， 让 它 进入 了 寻常 百姓 家 。 


化 的 大 半 历 程 。 


首先 ，Docker 提 供 了 各 种 容器 管理 工具 (如 分 发 、 版 本 、 移 植 等 ) 让 用 户 无 需 关注 底层 的 操作 ， 可 以 更 简单 明了 地 管理 和 使 用 容器 ; 其 次 ，Docker 通 过 引入 分 层 文 件 系统 构建 和 高 效 的 镜像 机 制 ， 降 


低 了 迁移 难度 ， 极 大 地 提升 了 用 户 体验 。 用 户 操作 Docker 容 器 就 像 操作 应 用 自身 一 样 简单 。 


早期 的 Docker 代 码 实现 是 直接 基于 LXC 的 。 自 0.9 版 本 开始 ，Docker 开 发 了 libcontainer 项 目 ， 作 为 更 广泛 的 容器 驱动 实现 ， 从 而 替换 掉 了 LXC 的 实现 。 目 前 ，Docker 还 积极 推动 成 立 了 runC 标 准 项 
目 ,试图 让 容器 支持 不 再 局 限于 Linux 操 作 系统 ， 而 是 更 安全 、 更 具 扩 展 性 。 


简单 地 讲 ， 读 者 可 以 将 Docker 容 器 理解 为 一 种 轻 量 级 的 沙 盒 (sandbox) 。 每 个 容器 内 运行 着 一 个 应 用 ， 
F 跟 创建 和 终止 原生 应 用 一 致 ， 另 外 ， 容 器 自身 对 系统 资源 的 额外 需求 也 十 分 有 限 ， 远 远 低 于 传统 虚拟 机 。 很 多 时 候 ， 甚 至 直接 把 容器 当 作 应 用 本 身 也 没有 任何 问题 。 


有 理由 相信 ，Docker 技 术 会 进一步 成 熟 ， 将 成 为 更 受 欢 迎 的 容器 虚拟 化 技术 实现 ， 并 在 云 计算 和 DevOps 等 领域 得 到 更 广泛 的 应 用 。 


1.2 ”为 什么 要 使 用 Docker 


1.Docker 容 器 虚拟 化 的 好 处 


Docker 项 目的 发 起 人 和 Docker 公 司 CTO Solomon Hykes 曾 认为 ，Docker 在 正确 的 地 点 、 正 确 的 时 间 顺 应 了 正确 的 趋势 一 一 如 何 正确 地 构建 应 用 。 


不 同 的 容器 相互 隔离 ， 容 器 之 间 也 可 以 通过 网 络 互相 通信 。 容 器 的 创建 和 停止 都 十 分 快速 ， 几 


在 云 时 代 ， 开 发 者 创建 的 应 用 必须 要 能 很 方便 地 在 网 络 上 传播 ， 也 就 是 说 应 用 必须 脱离 底层 物理 硬件 的 限制 ; 同时 必须 是 “任何 时 间 、 任 何 地 点 ”可 获取 的 。 因 此 ， 开 发 者 需要 一 种 新 型 的 创建 分 布 式 


应 用 程序 的 方式 ， 快 速 分 发 和 部 署 ， 这 正 是 Docker 所 能 够 提供 的 最 大 优势 。 


举 个 简单 的 例子 ,假设 用 户 试图 基于 最 常见 的 LAMP (Linux+Apache+MySQL+PHP) 组 合 来 构建 一 个 网 站 。 按 照 传 统 的 做 法 ， 首 先 ， 需 要 安装 Apache、MySQL 和 PHP 以 及 它们 各 自 运行 所 依赖 的 环 


境 ; 之 后 分 别 对 它们 进行 配置 (包括 创建 合适 的 用 户 、 配 置 参 数 等 ) ; 经 过 大 量 的 操作 后 ， 还 需要 进行 功能 测试 ， 看 是 否 工 作 正常 如 果 不 正 常 ， 则 进行 调试 追踪 ， 意 味 着 更 多 的 时 间 代价 和 不 可 控 的 风 


险 。 可 以 想象 ， 如 果 应 用 数目 变 多 ， 事 情 会 变 得 更 加 难以 处 理 。 


更 为 可 怕 的 是 ， 一 旦 需要 服务 器 迁移 (例如 从 亚马逊 云 迁移 到 其 他 云 ) ， 往 往 需要 对 每 个 应 用 都 进行 重新 部 署 和 调试 。 这 些 琐碎 而 无 趣 的 “体力 活 ”， 极 大 地 降低 了 工作 效率 。 究 其 根源 ， 是 这 些 应 
直接 运行 在 底层 操作 系统 上 ， 无 法 保证 同一 份 应 用 在 不 同 的 环境 中 行为 一 致 。 


而 Docker 提 供 了 一 种 更 为 聪明 的 方式 ， 通 过 容器 来 打包 应 用 ， 解 耦 应 用 和 运行 平台 。 意 味 着 迁移 的 时 候 ， 


无 疑 将 节约 大 量 的 宝贵 时 间 ， 并 降低 部 署 过 程 出 现 问题 的 风险 。 


2.Docker 在 开发 和 运 维 中 的 优势 


只 需要 在 新 的 服务 器 上 启动 需要 的 容器 就 可 以 了 ， 无 论 新 旧 服 务 器 是 否 是 同一 类 型 的 平台 。 这 


对 开发 和 运 维 (DevOps) 人 员 来 说 ， 可 能 最 梦 灾 以 求 的 效果 就 是 一 次 创建 或 配置 ， 之 后 可 以 在 任意 地 方 、 


体 说 来 ，Docker 在 开发 和 运 维 过 程 中 ， 具 有 如 下 几 个 方面 的 优势 : 


任意 时 间 让 应 用 正常 运行 。 而 Docker 恰 恰 是 可 以 实现 这 一 终极 目标 的 “瑞士 军刀 ” 。 


: 更 快速 的 交付 和 部 署 。 使 用 Docker， 开 发 人 员 可 以 使 用 镜像 来 快速 构建 一 套 标 准 的 开发 环境 ;开发 完成 之 后 ， 测 试 和 运 维 人 员 可 以 直接 使 用 完全 相同 环境 来 部 署 代 码 。 只 要 开发 测试 过 的 代码 ， 就 可 


以 确保 在 生产 环境 无 缝 运行 。Docker 可 以 快速 创建 和 删除 容器 ， 实 现 快速 选 代 ， 大 量 节约 开发 、 测 试 、 部 署 的 时 间 。 并 且 ， 整 个 过 程 全 程 可见 ， 使 团队 更 容易 理解 应 用 的 创建 和 工作 过 程 。 


“ 更 高 效 的 资源 利用 。Docker 容 器 的 运行 不 需要 额外 的 虚拟 化 管理 程序 (Virtual Machine Manager，VMM， 以 及 Hypervisor) 支持 ， 它 是 内 核 级 的 虚拟 化 ， 可 以 实现 更 高 的 性 能 ， 同 时 对 资源 的 额外 需求 很 


低 。 跟 传统 虚拟 机 方式 相 比 ， 要 提高 一 到 两 个 数量 级 。 


: 更 轻松 的 迁移 和 扩展 。Docker 容 器 几乎 可 以 在 任意 的 平台 上 运行 ， 包 括 物理 机 、 虚 拟 机 、 公 有 云 、 私 有 云 、 个 人 电脑 、 服 务 器 等 ， 同 时 支持 主流 的 操作 系统 发 行 版 本 。 这 种 兼容 性 让 用 户 可 以 在 不 同 


平台 之 间 轻 松 地 迁移 应 用 。 


: 更 简单 的 更 新 管理 。 使 用 Dockerfile， 只 需要 小 小 的 配置 修改 ， 就 可 以 替代 以 往 大 量 的 更 新 工作 。 并 且 所 有 修改 都 以 增 量 的 方式 被 分 发 和 更 新 ， 从 而 实现 自动 化 并 且 高 效 的 容器 管理 。 


3.Docker 与 虚拟 机 比较 


作为 一 种 轻 量 级 的 虚拟 化 方式 ，Docker 在 运行 


Docker 容 器 除了 运行 其 中 应 


“ Docker 容 器 对 系统 资源 需求 很 少 ， 一 台 主 机 


* Docker 容 器 很 快 ， 启动 和 停止 可 以 在 秒 级 实现 


' Docker 通 过 Dockerfile 支 持 灵 活 的 自动 化 创建 


应 用 上 与 传统 的 虚拟 机 方式 相 比 具有 显著 优势 : 


， 而 传统 的 虚拟 机 方式 需要 数 分 钟 。 


“ Docker 通 过 类 似 Git 设 计 理念 的 操作 来 方便 用 户 获取 、 分 发 和 更 新 应 用 镜像 ， 存 储 复 用 ， 增 量 更 新 。 


外 ， 基 本 不 消耗 额外 的 系统 资源 ， 保 证 应 


和 部 署 机 制 ， 提 高 工作 效率 ， 使 流程 标准 化 。 


上 可 以 同时 运行 数 千 个 Docker 容 器 (在 [BM 服务器 上 已 经 实现 了 同时 运行 10K 量 级 的 容器 实例 ) 。 


性 能 的 同时 ， 尽 量 减 小 系统 开销 。 传 统 虚 拟 机 方式 运行 N 个 不 同 的 应 用 就 要 起 N 个 虚拟 机 (每 个 虚拟 机 需要 单独 分 配 独 占 的 内 


存 、 磁 盘 等 资源 ) ， 而 Docker 只 需要 启动 N 个 隔离 的 “很 薄 的 ”容器 ， 并 将 应 用 放 进 容器 内 即 可 。 应 用 获得 的 是 接近 原生 的 运行 性 能 。 


当然 ， 在 隔离 性 方面 ， 传 统 的 虚拟 机 方式 提供 的 是 相对 封闭 的 隔离 。 但 这 并 不 意味 着 Docker 就 不 安全 ，Docker 利 用 Linux 系 统 上 的 多 种 防护 技术 实现 了 严格 的 隔离 可 靠 性 ， 并 且 可 以 整合 众多 安全 工 


具 。 从 1.3.0 版 本 开始 ，Docker 重 


表 1-1 总 结 了 使 


13 


特 性 
启动 速度 
性 能 
内 存 代价 
硬盘 使 用 
运行 密度 
隔离 性 
迁移 性 


Docker 与 虚拟 化 


点 改善 了 容器 的 安全 控制 和 镜像 的 安全 机 制 ， 极 大 提高 了 使 


Docker 容 器 技术 与 传统 虚拟 机 技术 的 特性 比较 ， 可 见 容器 技术 在 很 多 应 用 场景 下 都 


有 巨大 的 优势 。 


Docker 的 安全 性 。 在 已 知 的 大 规模 应 用 中 ， 目 前 尚未 出 现 值得 担忧 的 安全 隐患 。 


表 1-1 Docker 容 器 技术 与 传统 虚拟 机 技术 的 特性 比较 


- 般 为 MB 


单机 支持 上 
A 
般 


和 原生 较 弱 


千 个 容 需 


虚拟 机 
分 钟 级 


较 多 
- 般 为 GB 
- 般 几 十 个 


虚拟 化 〈Virtualization) 技术 是 一 个 通用 的 概念 ， 在 不 同 领域 有 不 同 的 理解 。 在 计算 领域 ， 一 般 指 的 是 计算 虚拟 化 (Computing Virtualization) ， 或 通常 说 的 服务 器 虚拟 化 。 维 基 百 科 上 的 定义 如 
下 : “虚拟 化 是 一 种 资源 管理 技术 ， 是 将 计算 机 的 各 种 实体 资源 ， 如 服务 器 、 网 络 、 内 存 及 存储 等 ， 予 以 抽象 、 转 换 后 呈现 出 来 ， 打 破 实 体 结构 间 的 不 可 切割 的 障碍 ， 使 用 户 可 以 比 原本 的 组 态 更 好 的 方式 


来 应 


从 大 类 上 分 ， 


可 见 ， 虚 拟 化 的 核心 是 对 资源 的 抽象 ， 目 标 往往 是 为 了 在 


Sharing Specification，SR-IOV) 等 技术 ， 也 超出 了 本 书 的 讨论 范畴 。 


基于 软件 的 虚拟 化 从 对 象 所 在 的 


如 下 几 个 子 类 : 


: 完全 庶 拟 化 。 虚 拟 机 模拟 完整 的 底层 硬件 环境 和 特权 指令 


VMware Workstation、 Xen、 KVM, 


可 见 ，Docker 以 及 其 他 容器 技术 ， 都 


属于 操作 系统 虚拟 化 这 个 范 


层次 ， 又 可 以 分 为 应 用 虚拟 化 和 平台 虚拟 化 (通常 说 的 虚拟 机 技术 即 


Docker 虚 拟 化 方式 之 所 以 有 众多 优势 ， 这 与 操作 系统 虚拟 化 技术 自身 的 设计 和 实现 是 分 不 开 的 。 


1-2 比 较 了 Docker 和 常见 的 虚拟 化 方式 的 不 同 之 处 。 


属于 这 个 范畴 ) 。 


同一 个 主机 上 同时 运行 多 个 系统 或 应 用 ， 从 而 提高 系统 资源 的 利用 率 ， 并 且 带 来 降低 成 本 、 方 便 管理 和 容错 容 灾 等 好 处 。 


虚拟 化 技术 可 分 为 基于 硬件 的 虚拟 化 和 基于 软件 的 虚拟 化 。 其 中 ， 真 正 意义 上 的 基于 硬件 的 虚拟 化 技术 不 多 见 ， 少 数 如 网 卡 中 的 单 根 多 IO 虚 拟 化 (Single Root I/O Virtualization and 


其 中 ， 前 者 一 般 指 的 是 一 些 模拟 设备 或 诸如 Wine 这 样 的 软件 。 后 者 又 可 以 细 分 为 


的 执行 过 程 ， 客 户 操 作 系 统 无 需 进 行 修改 。 例 如 IBMp 和 z 系 列 的 虚拟 化 、VMware Workstation、VirtualBox、QEMU 等 。 


: 硬件 辅助 虚拟 化 。 利 用 硬件 (主要 是 CPU) 辅助 支持 (目前 x86 体 系 结构 上 可 用 的 硬件 辅助 虚拟 化 技术 包括 Intel-VT 和 AMD-V) 处 理 敏感 指令 来 实现 完全 虚拟 化 的 功能 ， 客 户 操作 系统 无 需 修改 ， 例 如 


: 部 分 虚拟 化 。 只 针对 部 分 硬件 资源 进行 虚拟 化 ， 客 户 操作 系统 需要 进行 修改 。 现 在 有 些 庶 拟 化 技术 的 早期 版 本 仅 支持 部 分 庶 拟 化 。 
: 准 虚 拟 化 (paravirtualization) 。 部 分 硬件 接口 以 软件 的 形式 提供 给 客户 机 操作 系统 ， 客 户 操作 系统 需要 进行 修改 ， 例 如 早期 的 Xen。 
: 操作 系统 级 虚拟 化 。 内 核 通过 创建 多 个 虚拟 的 操作 系统 实例 (内核 和 库 ) 来 隔离 不 同 的 进程 。 容 器 相关 技术 即 在 这 个 范 


范畴 ， 操 作 系统 虚拟 化 最 大 的 特点 就 是 不 需要 额外 的 supervisor 支 持 。 


应 用 程序 应 用 程序 


虚拟 机 操作 系统 虚拟 机 操作 系统 运行 时 环境 运行 本 
虚拟 机 管理 程序 Docker 容器 支持 


宿主 机 操作 系统 宿主 机 操作 系统 


硬件 层 


a) 传统 的 虚拟 化 方式 b) Docker 虚拟 化 方式 


1-2 Docker 和 传统 的 虚拟 化 方式 的 不 同 之 处 


传统 方式 是 在 硬件 层面 实现 虚拟 化 ， 需 要 有 额外 的 虚拟 机 管理 应 用 和 虚拟 机 操作 系统 层 。Docker 容 器 是 在 操作 系统 层面 上 实现 虚拟 化 ， 直 接 复 用 本 地 主机 的 操作 系统 ， 因 此 更 加 轻 量 级 。 


14 本章 小 结 


本 章 介绍 了 容器 虚拟 化 的 基本 概念 、Docker 的 诞生 及 发 展 历史 ， 以 及 容器 在 云 时 代 应 用 分 发 场景 下 的 巨大 优势 。 


与 传统 的 虚拟 机 相 比 ， 容 器 虚拟 化 方式 在 很 多 场景 下 都 有 极为 明显 的 优势 。 无 论 是 系统 管理 员 、 应 用 开发 人 员 、 测 试 人 员 以 及 运 维 管 理 人 员 ， 都 应 该 尽快 掌握 Docker， 尽 早 享 受 其 带 来 的 巨大 便利 。 


后 续 章 节 ， 笔 者 将 结合 实践 案例 具体 介绍 Docker 的 安装 、 使 用 ， 让 我 们 一 起 开启 精彩 的 Docker 之 旅 。 


第 2 章 “核心 概念 与 安装 配置 


本 章 首先 介绍 Docker 的 三 大 核心 概念 。 


. 镜像 (Image) 
' 容器 (Container) 
. 仓库 (Repository) 
只 有 理解 了 这 三 个 核心 概念 ， 才 能 顺利 地 理解 Docker 容 器 的 整个 生命 周期 。 


随后 ， 笔 者 将 介绍 如 何在 常见 的 操作 系统 平台 上 安装 Docker， 包 括 Ubuntu、CentOS、MacOs 和 Windows 等 主流 操作 系统 平台 。 


Docker 的 大 部 分 操作 都 围绕 着 它 的 三 大 核心 概念 一 一 镜像 、 容 器 和 仓库 而 展开 。 因 此 ， 准 确 把 握 这 三 大 核心 概念 对 于 掌握 Docker 技 术 尤为 重要 。 


1.Docker 镜 像 


Docker 镜 像 类 似 于 虚拟 机 镜像 ， 可 以 将 它 理 解 为 一 个 只 读 的 模板 。 例 如 ， 一 个 镜像 可 以 包含 一 个 基本 的 操作 系统 环境 ， 里 面 仪 安 装 了 Apache 应 用 程序 (或 用 户 需要 的 其 他 软件 ) 。 可 以 把 它 称 为 一 个 
Apache 镜 像 。 


镜像 是 创建 Docker 容 器 的 基础 。 通 过 版 本 管理 和 增 量 的 文件 系统 ，Docker 提 供 了 一 套 十 分 简单 的 机 制 来 创建 和 更 新 现 有 的 镜像 ， 用 户 甚至 可 以 从 网 上 下 载 一 个 已 经 做 好 的 应 用 镜像 ， 并 直接 使 用 。 


2.Docker 容 器 


Docker 容 器 类 似 于 一 个 轻 量 级 的 沙 箱 ，Docker 利 用 容器 来 运行 和 隔离 应 用 。 容 器 是 从 镜像 创建 的 应 用 运行 实例 。 可 以 将 其 启动 、 开 始 、 人 停止、 删除 ， 而 这 些 容器 都 是 彼此 相互 隔离 的 、 互 不 可 见 的 。 


可 以 把 容器 看 做 是 一 个 简易 版 的 Linux 系 统 环境 (包括 root 用 户 权限 、 进 程 空间 、 用 户 空间 和 网 络 空间 等 ) 以 及 运行 在 其 中 的 应 用 程序 打包 而 成 的 盒子 。 
@ 注 总 


镜像 自身 是 只 读 的 。 容 器 从 镜像 启动 的 时 候 ， 会 在 镜像 的 最 上 层 创建 一 个 可 写 层 。 


3.Docker 仓 库 


Docker 仓 库 类 似 于 代码 仓库 ， 它 是 Docker 集 中 存放 镜像 文件 的 场所 。 


有 时 候 会 看 到 有 资料 将 Docker 仓 库 和 仓库 注册 服务 器 (Registry) 混为一谈 ， 并 不 严格 区 分 。 实 际 上 ， 仓 库 注册 服务 器 是 存放 仓库 的 地 方 ， 其 上 往往 存放 着 多 个 仓库 。 每 个 仓库 集中 存放 某 一 类 镜像 ， 


往往 包括 多 个 镜像 文件 ， 通 过 不 同 的 标签 (tag) 来 进行 区 分 。 例 如 存放 Ubuntu 操作 系统 镜像 的 仓库 称 为 Ubuntu 仓库 ， 其 中 可 能 包括 14.04、12.04 等 不 同 版 本 的 镜像 。 仓 库 注册 服务 器 的 示例 如 图 2-1 所 


示 。 


Ubuntu 仓库 CentOS 仓库 


注册 服务 厅 


图 2-1 注册 服务 器 与 仓库 


根据 所 存储 的 镜像 公开 分 享 与 否 ，Docker 仓 库 可 以 分 为 公开 仓库 (Public) 和 私有 仓库 (Private) 两 种 形式 。 目 前 ,最 大 的 公开 仓库 是 官方 提供 的 Docker Hub， 其 中 存放 了 数量 庞大 的 镜像 供用 户 下 
载 。 国 内 不 少 云 服务 提供 商 (如 时 速 云 、 阿 里 云 等 ) 也 提供 了 仓库 的 本 地 源 ， 可 以 提供 稳定 的 国内 访问 。 


当然 ， 用 户 如 果 不 希 望 公开 分 享 自己 的 镜像 文件 ，Docker 也 支持 用 户 在 本 地 网 络 内 创建 一 个 只 能 自己 访问 的 私有 仓库 。 当 用 户 创建 了 自己 的 镜像 之 后 就 可 以 使 用 push 命 令 将 它 上 传 到 指定 的 公有 或 者 
私有 仓库 。 这 样 用 户 下 次 在 另外 一 台 机 器 上 使 用 该 镜像 时 ， 只 需要 将 其 从 仓库 上 pull 下 来 就 可 以 了 。 


Oi 


可 以 看 出 ，Docker 利 用 仓库 管理 镜像 的 设计 理念 与 Git 非 常 相 似 ， 实 际 上 在 理念 设计 上 借鉴 了 Git 的 很 多 优秀 思想 。 


2.2 ”安装 Docker 


Docker 在 主流 的 操作 系统 和 云 平台 上 都 可 以 使 用 ， 包 括 Linux 操 作 系统 (如 Ubuntu、Debian、CentOS、Redhat 等 ) 、MacOS 操 作 系 统 和 Windows 操 作 系 统 ， 以 及 AWS 等 云 平台 。 


用 户 可 以 访问 Docker 官 网 的 Get Docker (https://www.docker.com/products/overview) 页 面 ， 查 看 获取 Docker 的 方式 ， 以 及 Docker 支 持 的 平台 类 型 ， 如 图 2-2 所 示 。 


CET DOCKER 


Docker provides an Integrated technology sulte that enables development and IT operations 
teams to bulld, ship, and run distributed applications anywhere. 


| own | Egy 


DOCKER PLATFORM DOCKER HUB DOCKER CLOUD DOCKER DATACENTER 


INSTALL THE PLATFORM 


Install Docker with easy to use Installers for the major desktop and cloud 
platforms. 


MAC WINDOWS A LINUX 


A native Mac application with a user A native Windows application with a Install Docker on nodes which have a 
Interface and auto-update capabillties, user Interface and auto-update Linux distribution already Installed. 
thatis deeply integrated with OS X capabilitles, that ls deeply integrated 

native virtualization. with Windows native virtualization. 


AWS -~ AZURE OTHERS 


Quickly deploy, scale, and manage Qulckly deploy, scale and manage For platforms without a Docker Installer, 
Docker on AWS. Docker for AWS takes Docker on Azure. Docker for Azure takes easily setup Docker using Docker 


optimal advantage of the underlying optimal advantage of the underiying Machine. 


图 2-2 ”获取 Docker 
在 Get Docker 页 面 ,我 们 可 以 看 到 目前 Docker 支 持 Docker Platform、Docker Hub、Docker Cloud 和 Docker DataCenter。 
“ Docker Platform: 支持 在 桌面 系统 或 云 平台 安装 Docker; 
“ DockerHub: 官方 提供 的 云 托管 服务 ， 可 以 提供 公有 或 私有 的 镜像 仓库 ; 
“ DockerCloud: 官方 提供 的 容器 云 服务， 可 以 完成 容器 的 部 署 与 管理 ， 可 以 完整 地 支持 容器 化 项 目 ， 还 有 CI、CD 功 能 ; 
“ Docker DataCenter: 提供 企业 级 的 简单 安全 弹性 的 容器 集群 编排 和 管理 。 


笔者 推荐 尽量 使 用 Linux 操 作 系统 来 运行 Docker， 因 为 目前 Linux 操 作 系统 对 Docker 的 支持 是 原生 的 ， 使 用 体验 最 好 。 


2.2.1 Ubuntu 环境 下 安装 Docker 


1. 系 统 要 求 


Docker 目 前 只 能 运行 在 64 位 平台 上 ， 并 且 要 求 内 核 版 本 不 低 于 3.10， 实 际 上 内 核 越 新 越 好 ， 过 低 的 内 核 版 本 容易 造成 功能 不 稳定 。 


用 户 可 以 通过 如 下 命令 检查 自己 的 内 核 版 本 详细 信息 : 


$ uname -a 
Linux Host 3.16.0-43-generic #58~14.04.1-Ubuntu SMP Mon Jun 22 10:21:20 UTC 
2015 x86 64 x86 64 x86 64 GNU/Linux 


或 者 : 


$ cat /proc/version 
Linux version 3.16.0-43-generic (buildd@brownie) (gcc version 4.8.2 (Ubuntu 
4.8.2-19ubuntul) ) #58~14.04.1-Ubuntu SMP Mon Jun 22 10:21:20 UTC 2015 


Docker 目 前 支持 的 最 低 Ubuntu 版 本 为 12.04 LTS， 但 实际 上 从 稳定 性 上 考虑 ， 推 荐 至 少 使 用 14.04 LTS 版 本 。 


如 果 使 用 12.04 LTS 版 本 ， 首 先 要 更 新 系统 内 核 和 安装 可 能 需要 的 软件 包 ， 包 括 : 


“ linux-image-genetic-lts-trusty ( 必 备 ) 
“ linux-headers-genetic-lts-trusty ( 必 备 ) 
“xserver-xorg-lts-trusty ( 带 图 形 界面 时 必 备 ) 


“ libgl1-mesa-glx-lts-trusty ( 带 图 形 界面 时 必 备 ) 


另外 ， 为 了 让 Docker 使 用 aufs 存 储 ， 推 荐 安装 linux-image-extra 软 件 包 。 


$ sudo apt-get install -y linux-image-extra-$ (uname -r) 


@@ 注 章 
Ubuntu 发 行 版 中 ，LIS (Long Term-Support) 意味 着 更 稳定 的 功能 和 更 长 期 (目前 为 5 年 ) 的 升级 支持 ， 生 产 环 境 中 尽量 使 用 LTS 版 本 。 
2 添加 镜像 源 


首先 需要 安装 apt-transport-https 包 支持 HTTPS 协 议 的 源 : 


$ sudo apt-get install -y apt-transport-https 


添加 源 的 gpg 密 钥 : 


$ sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys 
58118E89F3A912897C070ADBF76221572C52609D 


获取 当前 操作 系统 的 代号 : 


$ lsb release -c 
Codename: trusty 


一 般 情况 下 ，12.04 (LTS) 代号 为 precise，14.04 (LTS) 代号 为 trusty，15.04 代 号 为 vivid，15.10 代 号 为 wily。 这 里 获取 的 代号 为 trusty。 


接 下 来 就 可 以 添加 Docker 的 官方 apt 软 件 源 了 。 通 过 下 面 的 命令 创建 /etc/apt/sources.list.d/docker.list 文 件 ， 并 写 入 源 的 地 址 内 容 。 非 trusty 版 本 的 系统 注意 修改 为 自己 对 应 的 代号 : 


$ sudo cat <<EOF > /etc/apt/sources.list.d/docker.list 
deb https://apt.dockerproject.org/repo ubuntu-trusty main 
EOF 


添加 成 功 后 ， 更 新 apt 软 件 包 缓存 : 


$ sudo apt-get update 


3. 开 始 安 装 Docker 


在 成 功 添加 源 之 后 ， 就 可 以 安装 最 新 版 本 的 Docker 了 ， 软 件 包 名 称 为 docker-engine: 


$ sudo apt-get install -~y docker-engine 


如 果 系 统 中 存在 较 旧 版 本 的 Docker (Ixc-docker) ， 会 提示 是 否 先 删除 ， 选 择 “ 是 ” 即 可 。 


除了 基于 手动 添加 软件 源 的 方式 ， 也 可 以 使 用 官方 提供 的 脚本 来 自动 化 安装 Docker: 


$ sudo curl -sSL https://get.docker.com/ | sh 


安装 成 功 后 ， 启 动 docker 服 务 : 


$ sudo service docker start 


2.2.2 ”CentOS 环 境 下 安装 Docker 


系统 的 要 求 与 Ubuntu 情况 下 类 似 : 64 位 操作 系统 ， 内 核 版 本 至 少 为 3.10。 


Docker 目 前 支持 CentOS 6.5 及 以 后 的 版 本 ， 推 荐 使 用 CentOS 7 系统 。 


首先 ， 也 是 要 添加 yum 软 件 源 : 


$ sudo tee /etc/yum.repos.d/docker.repo <<-'EOF' 

[dockerrepo] 

name=Docker Repository 

baseurl=https://yum.dockerproject .org/repo/main/centos/$releasever/ 
enabled=1 

gpgcheck=1 

gpgkey=https://yum.dockerproject .org/gpg 

EOF 


之 后 更 新 yum 软 件 源 缓存 ， 并 安装 docker-engine: 


$ sudo yum update 
$ sudo yum install -~y docker-engine 


对 于 CentOS 7 系统 ，CentOS-Extras 源 中 已 内 置 Docker， 如 果 已 经 配置 了 CentOS-Extras 源 ， 可 以 直接 通过 上 面 的 yum 命 令 进行 安装 。 


2.2.3 ”通过 脚本 安装 


用 户 还 可 以 使 用 官方 提供 的 shell 肢 本 来 在 Linux 系 统 (目前 支持 Ubuntu、Debian、Oracleserver、Fedora、Centos、OpenSuse、Gentoo 等 常见 发 行 版 ) 上 安装 Docker 的 最 新 正式 版 本 ， 该 脚本 会 
自动 检测 系统 信息 并 进行 相应 配置 : 


$ curl -fsSL https://get.docker.com/ | sh 


或 者 : 


$ wget -qo- https://get.docker.com/ | sh 


如 果 想 尝鲜 使 


最 新 功能 ， 


可 以 使 


下 面 的 脚本 来 安装 预 发 布 版 本 。 但 要 注意 ， 预 发 布 版 本 往往 意味 着 功能 还 不 够 稳定 ， 不 要 在 生产 环境 中 使 用 : 


$ curl -fsSL https://test.docker.com/ | sh 


另外 ， 也 可 以 从 github.com/docker/docker/releases 找 到 所 有 的 发 行 版 本 信息 和 二 进 制 包 ， 自 行 下 载 使 用 。 


Docker 官 方 非常 重视 Docker 在 Mac 环 境 下 的 易 用 性 。 目 前 Docker 支 持原 生 Mac 客 户 端 ， 内 置 图 形 界面 ， 支 持 自 动 升级 。 此 客户 端 与 Mac OS X 的 原生 虚拟 化 深度 结合 ， 据 弃 了 之 前 安装 
VirtualBox ( 即 Docker Toolbox) 的 简单 粗暴 的 做 法 。 我 们 先 从 官方 默认 的 Docker for Mac 开 始 。 


Mac 


第 一 步 ， 下 载 安装 包 。 访 问 https://docs.docker.com/docker-for-mac/ 下 载 页 面 。 目 前 Docker for Mac 分 为 稳定 版 和 Beta 版 两 种 更 新 通道 ， 我 们 可 以 按 需 选择 。 下 载 完成 后 ， 双 击 安装 包 ， 如 


所 示 。 


如 beta 


Docker 


图 2-3 下载 后 打开 安装 包 


第 二 步 ， 开 始 安 装 。 将 Docker.app 拖 岛 至 Applications 文 件 夹 ， 即 可 完成 安装 ， 如 图 2-4 所 示 。 


图 2-4 ”安装 Docker 到 Applications 文 件 夹 


第 三 步 ， 运 行 Docker for Mac。 在 欢迎 窗口 点 击 “Next”， 如 图 2-5 所 示 。 


Welcome to Docker for Mac Beta! 
We are whaly happy to have you. 


图 2-5 欢迎 窗口 


允许 Docker 获 得 系统 权限 ， 它 需要 将 Mac 网 卡 链接 至 Docker app。 点 击 “OK” 后 输入 系统 管理 员 密码 ， 如 图 2-6 所 示 。 


Docker needs privileged access. 


Docker for Mac needs privileged access to install its networking 
components and links to the Docker apps. 


You will be asked for your password. 


二] 配 郴 


图 2-6 ”运行 Docketr for Mac 


此 时 系统 状态 栏 会 出 现 Docker 的 Icon 图 标 ， 点 击 后 如 果 出 现 “Docker is running! ”， 则 说 明 安 装 成 功 。 


第 四 步 ， 验 证 Docker 安 装 。 打 开 终 端 控 制 器 或 其 他 系统 命令 行 ， 执 行 docker version 命 令 。 


$ docker version 


Client: 
Version: T1200 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: darwin/amd64 
Server: 
Version: 工 。 荆 2 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: linux/amd64 


如 果 我 们 看 到 Client 和 Server 均 有 输出 ， 则 说 明 Docker for Mac 已 经 正常 启动 。 如 果 我 们 看 到 报错 : 
则 说 明 Docker for Mac 没 有 启动 或 启动 失败 。 


下 面 启动 一 个 Nginx 容 器 ， 检 查 能 正确 获取 镜像 并 运行 : 


$ docker run -d -p 80:80 --name webserver nginx 

Unable to find image 'nginx:latest' locally 

latest: Pulling from library/nginx 

51f5c6a04d83: Pull complete 

a3ed95caeb02: Pull complete 

51d229e136d0: Pull complete 

bcd41ldaec8cc: Pull complete 

Digest: 
sha256:0fe6413f3e30fcc5920bc8fa769280975b10b1c26721de956e1428b9e2f29d04 
Status: Downloaded newer image for nginx:latest 
34bcd01998a76f67blb9e6abe5b7db5e685af325d6fafblacd0ce84e81e71le5d 


“Cannot connect to the Docker daemon.ls the docker daemon running on this host? ”， 


然后 使 用 docker ps 指令 查看 当前 运行 的 容器 : 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

34bcd01998a7 nginx "nginx -g 'daemon off" 2 minutes ago 
Up 2 minutes 0.0.0.0:80->80/tcp, 443/tcp webserver 


可 见 Nginx 容 器 已 经 在 0.0.0.0: 80 启 动 ， 并 映射 了 80 端 


设 定 。 首 先 ， 点 击 系统 状态 栏 的 Docker 图 标 ， 会 出 现 操作 菜单 ， 如 图 2-8 所 示 。 


第 五 步 ， 常 用 配 


€ SC Do.0.0.0 yi 三 


， 下 面 我 们 打开 浏览 器 访问 此 地 址 ， 如 图 2-7 所 示 。 


Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 


working. Further configuration is required. 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com. 


Thank you for using nginx. 


图 2-7 允许 访问 系统 权限 


术 可) 100% 区 会 


和 Docker is running restart 


About Docker 
Check for Updates... 


Preferences... 


Documentation 
Diagnose & Feedback... 
Open Kitematic 


Quit Docker 


2-8 ” ”Docker 菜单 


然后 ， 点 击 Preferences， 进 入 标准 配置 页 面 ， 我 们 可 以 设置 是 否 自动 启动 与 更 新 ， 设 置 备份 工具 Time Machine 是 否 备份 VM ， 还 可 以 配置 Docker 使 用 的 CPU 数 、 内 存 容 量 ， 如 图 2-9 所 示 。 


点 击 进入 Advanced 进 阶 配置 。 为 了 更 好 地 使 用 Docker Hub， 我 们 可 以 使 用 Registry 镜 像 站 点 进行 加 速 。 点 击 + 后 ， 加 入 镜像 站 点 配置 。 这 里 还 可 以 配置 HTTP 代 理 服务 器 ， 如 图 2-10 所 示 。 


点 击 进入 File Sharing 标 签 页 ， 此 处 可 以 配置 挂 载 至 容器 中 的 本 地 目录 。 点 击 + 后 可 以 继续 添加 本 地 目录 ， 如 图 2-11 所 示 。 


图 2-9 ”标准 配置 页 面 


*alibaba-inc.com, *.aliexpress.com, *.alibabs 


Apply & Restart 


图 2-10 ”高 级 配置 页 面 


点 击 进 入 Privacy 标 签 页 ， 此 处 可 以 配置 隐私 选项 ， 如 是 否 发 送 使 用 信息 ， 以 及 是 否 发 送 程序 崩溃 报告 ， 如 图 2-12 所 示 。 


图 2-11 文件 分 享 配置 页 面 


Privacy 


多少 国 O "3 


General Advanced File Sharing Privacy Uninstall / Reset 


Help improve Docker for Mac! 


IV] Send usage information 


Send system version and language as well as Docker 
app lifecycle information (e.g., starts, stops, resets) 


[v| Send crash reports 


Auto-send crash reports. Docker may prompt for 
more information about a crash even if this is 
checked. 


Note: Docker always sends minimal ping with version 
information. 


@ Dockeris running 


2-12 ”隐私 配置 页 面 


2.Docker Toolbox 


在 Mac OS X 操 作 系 统 上 安装 Docker， 除 了 Docker for Mac 的 原生 方式 之 外 ， 还 可 以 使 用 官方 提供 的 Docker ToolBox 工 具 。 


首先 前 往 https://www.docker.com/products/docker-toolbox 下 载 对 应 版 本 的 ToolBox。 目 前 Docker 支 持 的 Mac OS X 版 本 为 10.6+。 如 图 2-13 所 示 。 


What ls Docker? Soons GetDocker Pricing Open Source Company 


DOCKER TOOLBOX 


The Docker Toolbox ts an rsetalier ID quicidy and eesiiy Insta snd setup 8 DOoCker envronment On yor computer 


| oiond 


图 2-13 ”ToolBox 安 装 页 面 


双击 运行 安装 包 。 这 个 过 程 将 安装 一 个 VirtualBox 虚 拟 机 ， 内 置 了 Docker Engine、Compose、Machine、Kitematic 等 管理 工具 。 安 装 成 功 后 ， 找 到 Boot2Docker 并 运行 它 。 如 图 2-14 所 示 。 


Welcome to the Boot2Docker for Mac OS X Installer 


@ imtroduction Boot2Docker for Mac OS X 


® Destination Select Thie ingtalier will ulde you A a | ee 
® Installation Type Mac OS X v1.2.0. 


® Installation The docker and boot2docker binaries will be installed to /usr/ 
local /bin, and can then be run from your Terminal. 

®@ Summary For further information, please see the Docker OS X installation 
documentation. 


To continue, click Continue. 


图 2-14 Boot2Docker 页 面 


现在 进行 Boot2Docker 的 初始 化 : 


$ boot2docker init 
$ boot2docker start 
$ $ (boot2docker shellinit) 


将 看 到 虚拟 机 在 命令 行 窗口 中 启动 运行 。 当 虚拟 机 初始 化 完毕 后 ， 可 以 使 用 boot2docker stop 和 boot2docker start 来 控制 它 。 


注意 ， 如 果 在 命令 行 中 看 到 如 下 提示 信息 : 


To connect the Docker client to the Docker daemon, please set: export DOCKER_ 
HOST=tcp://192.168.59.103:2375 


可 以 执行 提示 信息 中 的 语句 : export DOCKER_HOST=tcp://192.168.59.103: 2375。 此 语句 的 作用 是 在 系统 环境 变量 中 设置 Docker 的 主机 地 址 。 


2.2.5 ”Windows 环 境 下 安装 Docker 


目前 Docker 可 以 通过 虚拟 机 方式 来 支持 Windows 7.1 和 8， 只 要 平台 CPU 支 持 硬件 虚拟 化 特性 即 可 。 如 果 无 法 确定 自己 计算 机 的 CPU 是 否 支 持 该 特性 也 无 需 担心 ， 实 际 上 ， 目 前 市 面 上 主流 的 CPU 都 早 
已 支持 了 硬件 虚拟 化 特性 。 


对 于 Windows 10 用 户 ，Docker 官 方 提供 了 原生 虚拟 化 应 用 Docker for Windows。 详 情 见 : https://docs.docker.com/windows/step_one/。 目 前 国内 Windows 7 还 是 主导 地 位 的 版 本 ， 所 以 下 面 主 
要 讲解 如 何在 Windows 7 环境 下 安装 Docker 环 境 。 


虚拟 机 来 提供 Linux 支 持 。 这 里 推荐 使 用 Boot2Docker 工 具 ， 它 会 首先 安装 一 个 经 过 加 


| 
> 


由 于 Docker 引 警 使 用 了 Linux 内 核 特 性 ， 所 以 如 果 要 在 Windows 10 之 外 的 Windows 上 运行 ， 需 要 额外 使 用 
工 与 配置 的 轻 量 级 虚拟 机 ， 然 后 在 其 中 运行 Docker。 主 要 步骤 如 下 : 


首先 ， 从 https://docs.docker.com/installation/windows/ 下 载 最 新 官方 Docker for Windows Installer。 双 击 打 开 Installer。 这 个 过 程 将 安装 VirtualBox、MSYS-git、boot2docker Linux 1SO 镜 
像 ， 以 及 Boot2Docker 管 理工 具 。 如 图 2-15 所 示 。 


Welcome to the Docker for 
Windows Setup Wizard 


Uockersinste 


This will install Docker for Windows version 0.9 on your 
computer. 


Itis recommended that you dose all other applications before 


Click Next to continue, or Cancel to exit Setup. 


图 2-15 Docker for Windows Installer 


最 后 ， 打 开 桌 面 的 Boot2Docker Start 程 序 ,或 者 Program Files\Boot2Docker for Windows。 此 初始 化 脚本 在 第 一 次 运行 时 需要 输入 一 个 SSH Key Passphrase (用 于 SSH 密 钥 生 成 的 口令 ) 。 读 者 可 
以 自行 设 定 ， 也 可 以 直接 按 回 车 键 跳 过 此 设 定 。 如 图 2-16 所 示 。 


仿 Boot2Docker Start 


2014/05/27 22:28:05 Started. 

2014/05/27 22:28:05 Docker client does not run on Windows for n 
2014/05/27 22:28:05 c:\Program Files\Docker for Windows\b 
2014/05/27 22:28:05 to SSH into the WM instead. 

connecting... 

2014/05/27 22:28:06 executing: C:\Program Files\Qracle\VirtualB 

ker-vm --machinereadable 

2014/05/27 22:28:06 executing: ssh -o StrictHostKeyChecking=no 
22 -1 CcC:\Users\Sven Dowideit\.ssh\id_boot2docker docker@localh 
arning: Permanently added '[localhost]:2022" (RSA) to the list 

## 


#### 帮 帮 ## 


BB = 
| a 


| 4 
master : cle798c - Thu May 15 02:57:13 UTC 2014 
docker@boot2docker :~$ 


图 2-16 ”Boot2Docker 安 装 器 


此 时 Boot2Docker Start 程 序 将 连接 至 虚拟 机 中 的 Shell 会 话 ，Docker 已 经 运行 起 来 了 ! 


为 了 避免 每 次 使 用 docker 命 令 都 要 用 特权 身份 ， 可 以 将 当前 用 户 加 入 安装 中 自动 创建 的 docker 用 户 组 : 


$ sudo usermod -aG docker USER NAME 


户 更 新 组 信息 后 ， 退 出 并 重新 登录 后 即 可 生效 。 


另外 ，Docker 服 务 支持 多 种 启动 参数 。 以 Ubuntu 14.04 系 统 为 例 ，Docker 服 务 的 默认 配置 文件 为 /etc/default/docker， 可 以 通过 修改 其 中 的 DOCKER_OPTS 来 修改 服务 启动 的 参数 ， 例 如 ， 下 一 行 代 
码 让 Docker 服 务 可 以 通过 本 地 2375 端 口 接 收 来 自 外 部 的 请 求 : 


DOCKER_OPTS="$DOCKER_OPTS -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock" 


修改 之 后 ， 通 过 service 命 令 来 重启 Docker 服 务 : 


$ sudo service docker restart 


一 般 情况 下 ，Docker 服 务 的 管理 脚本 为 /etc/init.d/docker， 通 过 查看 其 中 的 内 容 ， 发 现 主 要 是 将 Docker 进 程 的 id 写 入 /var/run/docker.pid 文 件 ， 以 及 通过 ulimit 调 整 系统 的 资源 限制 。 


如 果 是 通过 较 新 的 upstart 工 具 来 管理 服务 ， 则 管理 服务 配置 文件 在 /etc/init/docker.conf。 


另外 ， 对 于 CentOS、Redhat 等 系统 ， 服 务 可 能 是 通过 systemd 来 管理 ， 与 此 略 有 不 同 ， 可 以 查阅 systemd 相 关 手 册 。 


例如 ， 需 要 通过 systemctl 命 令 来 管理 Docker 服 务 : 


$ sudo systemct1 start docker.service 


此 外 ， 如 果 服 务工 作 不 正常 ， 可 以 通过 查看 Docker 服 务 的 日 志 信 息 来 确定 问题 ， 例 如 在 Ubuntu 系 统 上 日 志文 件 可 能 为 /var/log/upstart/docker.log: 


$ sudo tail /var/log/upstart/docker.1log 


每 次 重启 Docker 服 务 后 ， 可 以 通过 查看 Docker 版 本 信息 ， 确 保 服务 已 经 正常 运行 : 


$ docker version 


Client: 
Version: Lal2,0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: darwin/amd64 
Server: 
Version: 二 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Tha Jol 28 21315:28 2016 
OS/Arch: linux/amd64 


2.4 ”推荐 实践 环境 


从 稳定 性 上 考虑 ， 本 书 推荐 的 实践 环境 的 操作 系统 是 Ubuntu 14.04.3 LTS 系 统 ， 带 有 linux-image-3.16.0-71-generic 内 核 。Docker 版 本 为 最 新 的 1.12 稳 定 版 本 。 不 同 版 本 的 API 会 略 有 差异 ， 推 荐 根据 
需求 选择 较 新 的 稳定 版 本 。 另 外 ， 如 无 特殊 说 明 ， 默 认 数 据 网 段 地 址 范围 为 10.0.0.0/24， 管 理 网 段 地 址 范围 为 192.168.0.0/24。 


执行 命令 代码 中 以 $ 开 头 的 ， 表 示 为 普通 用 户 ; 以 # 开 头 的， 表示 为 特权 用 户 (root) 。 如 果 用 户 已 经 添加 到 了 docker 用 户 组 (参考 上 一 小 节 ) ， 大 部 分 时 候 都 无 需 管理 员 权限 ， 否 则 需要 在 命令 前 使 用 
sudo 来 临时 提升 权限 。 


部 分 命令 执行 结果 输出 内 容 较 长 的 ， 只 给 出 了 输出 的 关键 部 分 。 读 者 可 根据 自己 的 实际 情况 ， 搭 建 类 似 的 环境 。 


2.5 ”本章 小 结 


原因 。 实 


本 章 介绍 了 Docker 的 三 大 核心 概念 : 镜像 、 容 器 和 仓库 。 在 后 面 的 实践 中 ， 读 者 会 感受 到 ， 基 于 三 大 核心 概念 所 构建 的 高 效 工作 流程 ， 正 是 Docker 从 众多 容器 虚拟 化 方案 中 脱颖而出 的 好 
际 上 ，Docker 的 工作 流 也 并 非 赁 空 创造 的 ， 很 大 程度 上 参考 了 Git 和 Github 的 设计 理念 ， 从 而 为 应 用 分 发 和 团队 合作 都 带 来 了 众多 优势 。 


在 后 续 章 节 ， 笔 者 将 具体 讲解 围绕 这 三 大 核心 概念 的 Docker 操 作 命令 。 


第 3 章 ”使 用 Docker 镜 像 


镜像 (image) 是 Docker 三 大 核心 概念 中 最 为 重要 的 ， 自 Docker 诞 生 之 日 起 “镜像 ”就 是 相关 社区 最 为 热门 的 关键 词 。 


Docker 运 行 容器 前 需要 本 地 存在 对 应 的 镜像 ， 如 果 镜 像 没 保存 在 本 地 ，Docker 会 尝试 先 从 默认 镜像 仓库 下 载 (默认 使 用 Docker Hub 公 共 注 册 服务 器 中 的 仓库 ) ， 用 户 也 可 以 通过 配置 ， 使 用 自 定义 的 
镜像 仓库 。 


本 章 将 介绍 围绕 镜像 这 一 核心 概念 的 具体 操作 ， 包 括 如 何 使 用 pull 命 令 从 Docker Hub 仓 库 中 下 载 镜像 到 本 地 ， 如 何 查看 本 地 已 有 的 镜像 信息 和 管理 镜像 标签 ， 如 何在 远 端 仓库 使 用 search 命 令 进 行 搜索 
和 过 滤 ， 如 何 删除 镜像 标签 和 镜像 文件 ， 如 何 创 建 用 户 定制 的 镜像 并 且 保 存 为 外 部 文件 。 最 后 ， 还 介绍 如 何 往 Docker Hub 仓 库 中 推送 自己 的 镜像 。 


Oi 


一 份 非 官方 研究 报告 表明 ，image 一 直 是 Docket 官 方 社区 (2014~2016 年 ) 和 StackOverFlow Docker 板 块 (2013~2016 年 ) 的 年 度 热 词 。 


3.1 ”获取 镜像 


镜像 是 运行 容器 的 前 提 ， 官 方 的 Docker Hub 网 站 已 经 提供 了 数 十 万 个 镜像 供 大 家 开放 下 载 。 


可 以 使 用 docker pull 命 令 直 接 从 Docker Hub 镜 像 源 来 下 载 镜像 。 该 命令 的 格式 为 docker pull NAME[: TAG]。 其 中 ，NAME 是 镜像 仓库 的 名 称 (用 来 区 分 镜像 ) ，TAG 是 镜像 的 标签 (往往 用 来 表示 
版 本 信息 ) 。 通 常情 况 下 ， 描 述 一 个 镜像 需要 包括 “名 称 + 标 签 ”信息 。 


例如 ， 获 取 一 个 Ubuntu 14.04 系 统 的 基础 镜像 可 以 使 用 如 下 的 命令 : 


14.04: Pulling from library/ubuntu 

6c953ac5d795: Pull complete 

3eed5ff20a90: Pull complete 

£f8419ea7clb5: Pull complete 

51900bc9e720: Pull complete 

a3ed95caeb02: Pull complete 

Digest: sha256:97421885f3da3b23f52eeddcaa9f8f91172a8ac3cd5d3cd40b51lc7aad09f66cc 
Status: Downloaded newer image for ubuntu:14.04 


对 于 Docker 镜 像 来 阅 ， 如 果 不 显 式 指定 TAG， 则 默认 会 选择 latest 标 签 ， 这 会 下 载 仓库 中 最 新 版 本 的 镜像 。 


下 面 的 例子 将 从 Docker Hub 的 Ubuntu 仓库 下 载 一 个 最 新 的 Ubuntu 操作 系统 的 镜像 。 


$ docker pull ubuntu 

Using default tag: latest 

latest: Pulling from library/ubuntu 

Sba4f30e5bea: Pull complete 

9q7d19c9qc56: Pull complete 

ac6ad7efd0f9: Pull complete 

e7491a747824: Pull complete 

a3ed95caeb02: Pull complete 

Digest: sha256:46fb5d001b88ad904c5c732b086b596b92cfb4a4840a3abd0e35dqbb6870585e4 
Status: Downloaded newer image for ubuntu:latest 


该 命令 实际 上 下 载 的 就 是 ubuntu : latest 镜 像 。 

@@ 注 意 

一 般 来 说 ， 镜 像 的 latest 标 签 意味 着 该 镜像 的 内 容 会 跟踪 最 新 的 非 稳 定 版 本 而 发 布 ， 内 容 是 不 稳定 的 。 当 前 Ubuntu 最 新 的 发 行 版 本 为 16.04，latest 镜 像 实际 上 就 是 16.04 镜 像 ， 用 户 可 以 下 载 Ubbuntu: 16.04 
镜像 并 查看 ， 两 者 的 数字 摘要 值 是 一 致 的 。 从 稳定 性 上 考虑 ， 不 要 在 生产 环境 中 忽略 镜像 的 标签 信息 或 使 用 默认 的 latest 标 记 的 镜像 。 


下 载 过 程 中 可 以 看 出 ， 镜 像 文件 一 般 由 若干 层 (layer) 组 成 ，6c953ac5d795 这 样 的 串 是 层 的 唯一 id (实际 上 完整 的 id 包括 256 比 特 ， 由 64 个 十 六 进 制 字符 组 成 ) 。 使 用 docker pull 命 令 下 载 时 会 获取 
并 输出 镜像 的 各 层 信息 。 当 不 同 的 镜像 包括 相同 的 层 时 ， 本 地 仪 存 储 层 的 一 份 内 容 ， 减 小 了 需要 的 存储 空间 。 


读者 可 能 会 想到 ， 在 使 用 不 同 的 镜像 仓库 服务 器 的 情况 下 ， 可 能 会 出 现 镜像 重 名 的 情况 。 


严格 地 讲 ， 镜 像 的 仓库 名 称 中 还 应 该 添加 仓库 地 址 ( 即 registry， 注 册 服 务 器 ) 作为 前 经， 只 是 我 们 默认 使 用 的 是 Docker Hub 服 务 ， 该 前 缀 可 以 忽略 。 


例如 ，docker pull ubuntu: 14.04 命 令 相当 于 docker pull registry.hub.docker.com/ubuntu: 14.04 命 令 ， 即 从 默认 的 注册 服务 器 Docker Hub Registry 中 的 ubuntu 仓 库 来 下 载 标记 为 14.04 的 镜 
像 。 


如 果 从 非 官方 的 仓库 下 载 ， 则 需要 在 仓库 名 称 前 指定 完整 的 仓库 地 址 。 例 如 从 网 易 蜂 划 的 镜像 源 来 下 载 Ubuntu : 14.04 镜 像 ， 可 以 使 用 如 下 命令 ， 此 时 下 载 的 镜像 名 称 为 
hub.c.163.com/public/ubuntu: 14.04: 


$ docker pull hub.c.163.com/public/ubuntu:14.04 


pull 子 命令 支持 的 选项 主要 包括 : 


-a，--all-tags=truelfalse: 是 否 获取 仓库 中 的 所 有 镜像 ， 默 认为 否 。 


下 载 镜像 到 本 地 后 ， 即 可 随时 使 用 该 镜像 了 ， 例 如 利用 该 镜像 创建 一 个 容器 ， 在 其 中 运行 bash 应 用 ， 执 行 ping localhost 命 令 : 


$ docker run -it ubuntu:14.04 bash 

root@9c74026df12a:/# Ping localhost 

PING localhost (127.0.0.1) 56(84) ) bytes of data. 

64 bytes from localhost (127.0.0.1): icmp seq=1 tt1=64 time=0.058 ms 
64 bytes from localhost (127.0.0.1): icmp seq=2 tt1=64 time=0.023 ms 
64 bytes from localhost (127.0.0.1): icmp seq=3 tt1=64 time=0.018 ms 
My 


-=- localhost ping statistics -~ 

3 packets transmitted, 3 received, 0% packet loss, time 1999ms 
rtt min/avg/max/mdev = 0.018/0.033/0.058/0.017 ms 
root@9c74026df12a:/# exit 

exit 


3.2 ”查看 镜像 信息 


1. 使 用 images 命 令 列 出 镜像 


使 用 docker images 命 令 可 以 列 出 本 地 主机 上 已 有 镜像 的 基本 信息 。 


例如 ， 下 面 的 命令 列 出 了 上 一 小 节 中 下 载 的 镜像 信息 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED SIZE 


Ubuntu 16.04 2fa927b5cdd3 2 weeks ago 122 MB 
Ubuntu latest 2fa927b5cdd3 2 weeks ago 1I22 MB 
ubuntu 14.04 8f1lbd21bd25c 2 weeks ago 188 MB 


在 列 出 的 信息 中 ， 可 以 看 到 以 下 几 个 字段 信息 。 

来自 于 哪个 仓库 ， 比 如 ubuntu 仓库 用 来 保存 ubuntu 系列 的 基础 镜像 ; 

. 镜像 的 标签 信息 ， 比 如 14.04、latest 用 来 标注 不 同 的 版 本 信息 。 标 签 只 是 标记 ， 并 不 能 标识 镜像 内 容 ; 

“ 镜像 的 ID (唯一 标识 镜像 ) ， 如 ubuntu: latest 和 ubuntu: 16.04 镜 像 的 ID 都 是 2fa927b5cdd3 ， 说 明 它们 目前 实际 上 指向 同一 个 镜像 ; 
“ 创建 时 间 ， 说 明镜 像 最 后 的 更 新 时 间 ; 


“ 镜像 大 小 ， 优 秀 的 镜像 往往 体积 都 较 小 。 


其 中 镜像 的 ID 信息 十 分 重要 ， 它 唯一 标识 了 镜像 。 在 使 用 镜像 ID 的 时 候 ， 一 般 可 以 使 用 该 ID 的 前 若干 个 字符 组 成 的 可 区 分 串 来 蔡 代 完整 的 ID。 


TAG 信息 用 来 标记 来 自 同一 个 仓库 的 不 同 镜像 。 例 如 ubuntu 仓库 中 有 多 个 镜像 ， 通 过 TAG 信息 来 区 分 发 行 版 本 ， 包 括 10.04、12.04、12.10、13.04、14.04、16.04 等 标签 。 


镜像 大 小 信息 只 是 表示 该 镜像 的 逻辑 体积 大 小 ， 实 际 上 由 于 相同 的 镜像 层 本 地 只 会 存储 一 份 ， 物 理 上 占用 的 存储 空间 会 小 于 各 镜像 的 逻辑 体积 之 和 。 
.images 子 命令 主要 支持 如 下 选项 ， 用 户 可 以 自行 进行 尝试 。 
“ -a，--all=true |false: 列 出 所 有 的 镜像 文件 (包括 临时 文件 ) ， 默 认为 否 ; 
--digests=true |false: 列 出 镜像 的 数字 摘要 值 ， 默 认为 否 ; 
“ -f，--filter=[|: 过 滤 列 出 的 镜像 ， 如 dangling=true 只 显示 没有 被 使 用 的 镜像 ， 也 可 指定 带 有 特定 标注 的 镜像 等 ; 
--format="TEMPLATE": 控制 输出 格式 ， 如 .ID 代表 ID 信息 ，.Repository 代 表 仓 库 信 息 等 ; 
--no-trunc=true| 全 se: 对 输出 结果 中 太 长 的 部 分 是 否 进行 截断 ， 如 镜像 的 JD 信息 ， 默 认为 是 ; 


* -q，--quiet=true |false: 仅 输 出 ID 信息 ， 默 认为 否 。 


其 中 ， 对 输出 结果 进行 控制 的 选项 如 -f，--filter=[]、--no-trunc=truelfalse、-q，--quiet=truelfalse 等 ， 大 部 分 子 命令 都 支持 。 
更 多 子 命令 选项 还 可 以 通过 man docker-images 来 查看 。 


2. 使 用 tag 命 令 添加 镜像 标签 


为 了 方便 在 后 续 工作 中 使 用 特定 镜像 ， 还 可 以 使 用 docker tag 命 令 来 为 本 地 镜像 任意 添加 新 的 标签 。 例 如 添加 一 个 新 的 myubuntu: latest 镜 像 标签 : 


$ docker tag ubuntu:latest myubuntu:1atest 


再 次 使 用 docker images 列 出 本 地 主机 上 镜像 信息 ， 可 以 看 到 多 了 一 个 拥有 myubuntu: latest 标 签 的 镜像 : 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED SIZE 

ubuntu 16.04 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 
myubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 
Ubuntu 14.04 8f1lbd21bd25c 2 weeks ago 188 MB 


之 后 ， 用 户 就 可 以 直接 使 用 myubuntu: latest 来 表示 这 个 镜像 了 。 


细心 的 读者 可 能 注意 到 ， 这 些 myubuntu: latest 镜 像 的 ID 跟 ubuntu : latest 完 全 一 致 。 它 们 实际 上 指向 同一 个 镜像 文件 ， 只 是 别名 不 同 而 已 。docker tag 命 令 添加 的 标签 实际 上 起 到 了 类 似 链接 的 作 


3. 使 用 inspect 命 令 查看 详细 信息 


使 用 docker inspect 命 令 可 以 获取 该 镜像 的 详细 信息 ， 包 括 制作 者 、 适 应 架构 、 各 层 的 数字 摘要 等 : 


$ docker inspect ubuntu:14.04 
[ 
{ 
"Id": "sha256:8flbd21bd25c3fb1d4b00b7936a73a0664f932e11406c48a0ef19d82fq0b7342", 
"RepoTags": [ 
"ubuntu:14.04" 

jy 

"RepoDigests": [], 
"parent™: my 
"Comment" 


了 
"Created": "2016-05-27T14:13:04.1030441052", 
"Container": "eb8c67a3bff6e93658d18acl4b3a2134488c1l40alae1205c0cfdfd49£087113f", 
"ContainerConfig": { 

"Hostname": "fff5562e8198", 

"Domainname": "™", 

"Usern: mm 

"AttachStdin": false, 

"AttachStdout": false, 

"AttachStderr": false, 

"Tty": false, 


"OpenStdin" : false, 

"Stdinonce": false, 

YE [ls 

"Cmd": [ 
"/bin/sh", 


"# (nop) CMD [\"/bin/bash\"]" 
], 
"Image": "f9cdf71c33f14c7af4b75b651624e9ac69711630e21ceb289f69e0300e90c57d"， 
"Volumes": null, 
"WorkingDir": ™", 
"Entrypoint": null, 
"OnBuild": null, 
"Labels": {} 


}, 

"DockerVersion": "1.9.1", 

"Author™: my 

"Config": { 
"Hostname": 
"Domainname": 
"Usern: mm 
"AttachStdin" : false, 
"AttachStdout": false, 
"AttachStderr": false, 
"Tty": false, 
"OpenStdin" : false, 
"Stdinonce" : false, 
Tvwts [ls 
"Cmd": [ 

"/bin/bash™" 


"fff5562e8198", 


1 


], 
"Image": "f9cdf71c33f14c7af4b75b651624e9ac69711630e21ceb289f69e0300e90c57g", 
"Volumes": null, 
"WorkingDir": ™", 
"Entrypoint": null, 
"OnBuild": null， 
"Labels": {} 

] 7 

"Architecture": "amd64", 

"Os™: "limx"; 

"Size": 187957543, 

"VirtualSize": 187957543, 


"GraphDriver": { 
"Name": "aufs", 
"Data": null 

] 

"RootFS": { 

"Type": "layers", 
"Layers": [ 


"sha256:a7elc363defb1f80633f3688e945754fc4c8f1543f07114befb5e0175dq569f4c"， 
"sha256:dc109q4b4ccf69361d29292fb15e52707507b520aba8cd43a564182f26725dq74"， 
"sha256:9f7ab087e6e6574225f863b6013579a76bdq0c80c92fefe7aea92c4207b6486cb"， 
"sha256:6f8be37bd578bbabe570b0181602971b0ea3509b79ala3dd5528a4e3fc33dd6f", 
"sha256:5f70bf18a086007016e948b04aed3b82103a36bea41755b6cddfafl0ace3c6ef" 


返回 的 是 一 个 JSON 格 式 的 消息 ， 如 果 我 们 只 要 其 中 一 项 内 容 时 ， 可 以 使 用 参数 -{ 来 指定 ， 例 如， 获取 镜像 的 Architecture: 


$ docker inspect -f {{".Architecture"}} 
amd64 


4. 使 用 history 命 令 查 看 镜像 历史 


既然 镜像 文件 由 多 个 层 组 成 ， 那 么 怎么 知道 各 个 层 的 内 容 具 体 是 什么 呢 ? 这 时 候 可 以 使 用 history 子 命令 ， 该 命令 将 列 出 各 层 的 创建 信息 。 


例如 ， 查 看 ubuntu : 14.04 镜 像 的 创建 过 程 ， 可 以 使 用 如 下 命令 : 


$ docker history ubuntu:14.04 


IMAGE CREATED CREATED BY SIZE COMMENT 
8flbd21bq25c 2 weeks ago /bin/sh -c #(nop) CMD ["/bin/bash"] 0B 
<missing> 2 weeks ago /bin/sh -c sed -i 's/^#\s*\(deb.*universe\)$/ 1.895 kB 
<missing> 2 weeks ago /bin/sh -c rm -rf /var/lib/apt/lists/* 0 B 
<missing> 2 weeks ago /bin/sh -c set -xe  && echo '#!/bin/sh' > /u 194.5 kB 
<missing> 2 weeks ago /bin/sh -c #(nop) ADD file:aca501360d0937bc49 187.8 MB 


注意 过 长 的 命令 被 自动 截断 了 ， 可 以 使 用 前 面 提 到 的 --no-trunc 选 项 来 输出 完整 命令 。 


3.3 ”搜寻 镜像 


使 用 docker search 命 令 可 以 搜索 远 端 仓库 中 共享 的 镜像 ， 默 认 搜索 官方 仓库 中 的 镜像 。 用 法 为 docker search TERM ， 支 持 的 参数 主要 包括 : 


“ --automated=true|false: 仅 显示 自动 创建 的 镜像 ， 默 认为 否 ; 
“ -no-trunc=true |f 亿 se: 输出 信息 不 截断 显示 ， 默 认为 否 ; 
“ -sS，--stats=X: 指定 仅 显示 评价 为 指定 星 级 以 上 的 镜像 ， 黑 认为 0， 即 输出 所 有 镜像 。 


例如 ， 搜 索 所 有 自动 创建 的 评价 为 1+ 的 带 nginx 关 键 字 的 镜像 ， 如 下 所 示 : 


$ docker search --automated -s 3 nginx 


NAME, DESCRIPTION STARS OFFICIAL AUTOMATED 

jwilder/nginx-proxy Automated Nginx reverse proxy for docker chttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
richarvey/nginx-php-fpm Container running Nginx + PHP-FPM capable http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
million12/nginx-php Nginx + PHP-FPM 5.5, 5.6, 7.0 (NG), CentOShttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
maxexcloo/nginx-php Docker framework container with Nginx and http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
webdevops/php-nginx Nginx with PHP-FPM 38 [OK] 

h3nrik/nginx-ldap NGINX web server with LDAP/AD, SSL and prohttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPSVText/... 
bitnami/nginx Bitnami nginx Docker Image 18 [OK] 

maxexcloo/nginx Docker framework container with Nginx insthttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/O0EBPS/Text/... 
million12/nginx Nginx: extensible, nicely tuned for betterhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
webdevops/nginx Nginx container 3 [OK] 

ixbox/nginx Nginx on Alpine Linux. 3 [OK] 

evild/alpine-nginx Minimalistic Docker image with Nginx 3 [OK] 


可 以 看 到 返回 了 很 多 包含 关键 字 的 镜像 ， 其 中 包括 镜像 名 字 、 描 述 、 星 级 (表示 该 镜像 的 受 欢迎 程度 ) 、 是 否 官方 创建 、 是 否 自动 创建 等 。 


默认 的 输出 结果 将 按照 星 级 评价 进行 排序 。 


3.4 ”删除 镜像 


1. 使 用 标签 删除 镜像 


使 用 docker rmi 命 令 可 以 删除 镜像 ， 命 令 格式 为 docker rmi IMAGE[IMAGEhttp://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/.….]， 其 中 IMAGE 可 以 为 标签 或 I1D。 


例如 ， 要 删除 掉 myubuntu: latest 镜 像 ， 可 以 使 用 如 下 命令 : 


$ docker rmi myubuntu:latest 
Untagged: myubuntu:latest 


读者 可 能 会 担心 ， 本 地 的 ubuntu : latest 镜 像 是 否 会 受 此 命令 的 影响 。 无 需 担 心 ， 当 同一 个 镜像 拥有 多 个 标签 的 时 候 ，docker rmi 命 令 只 是 删除 该 镜像 多 个 标签 中 的 指定 标签 而 已 ， 并 不 影响 镜像 文 
件 。 因 此 上 述 操作 相当 于 只 是 删除 了 镜像 2fa927b5cdd3 的 一 个 标签 而 已 。 


为 保险 起 见 ， 再 次 查看 本 地 的 镜像 ， 发 现 ubuntu : latest 镜 像 (准确 地 说 是 2fa927b5cdd3 镜 像 ) 仍然 存在 : 


$ docker ;images 


REPOSITORY TAG IMAGE ID CREATED SIZE 

ubuntu 16.04 2fa927b5cdd3 2 weeks ago 122 MB 
Ubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu 14.04 8flbd21bdq25c 2 weeks ago 188 MB 


但 当 镜 像 只 剩 下 一 个 标签 的 时 候 就 要 小 心 了 7， 此 时 再 使 用 docker rmi 命 令 会 彻底 删除 镜像 。 


例如 删除 标签 为 ubuntu : 14.04 的 镜像 ， 由 于 该 镜像 没有 额外 的 标签 指向 它 ， 执 行 docker rmi 命 令 ， 可 以 看 出 它 会 删除 这 个 镜像 文件 的 所 有 层 : 


$ docker rmi ubuntu:14.04 

Untagged: ubuntu:14.04 

Deleted: sha256:8flbd21bd25c3fbld4b00b7936a73a0664f932e11406c48a0ef19d82fd0b7342 
Deleted: sha256:8ea3b9ba4dq9dq448dlca3ca7afa8989qd033532c11050f5e129dq267be8qe9c1b4 
Deleted: sha256:7db5fb90eb6ffb6b5418f76dqe5f685601fad200a8f4698432ebf8ba80757576 
Deleted: sha256:19a7e879151723856fb640449481c65c55fc9e186405dd74ae6919f88eccce75 
Deleted: sha256:c357a3f74f16f61c2cc78qbb0aelff8c8f4fa79be9388qb38a87c7d8010b2fe4 
Deleted: sha256:a7elc363defb1f80633f3688e945754fc4c8f1543f07114befb5e0175q569f4c 


2. 使 用 镜像 ID 删除 镜像 


当 使 用 docker rmi 命 令 ， 并 且 后 面 跟 上 镜像 的 ID (也 可 以 是 能 进行 区 分 的 部 分 1D 串 前 缀 ) 时 ， 会 先 尝试 删除 所 有 指向 该 镜像 的 标签 ， 然 后 删除 该 镜像 文件 本 身 。 


注意 ， 当 有 该 镜像 创建 的 容器 存在 时 ， 镜 像 文件 默认 是 无 法 被 删除 的 ， 例 如 ， 先 利用 ubuntu : 14.04 镜 像 创建 一 个 简单 的 容器 来 输出 一 段 话 : 


$ docker run ubuntu:14.04 echo 'hello! I am here!' 
hello! I am here! 


使 用 docker ps-a 命 令 可 以 看 到 本 机 上 存在 的 所 有 容器 : 


可 以 看 到 ， 后 台 存在 一 个 退出 状态 的 容器 ， 是 刚 基于 ubuntu : 14.04 镜 像 创建 的 。 


$ docker ps -a 
CONTAINER ID 
a21c0840213e 
Exited (0) About a minute ago romantic euler 


ago 


IMAGE COMMAND CREATED STATUS PORTS NAMES 


ubuntu:14.04 "echo 'hello! I am he" Rbout a minute 


试图 删除 该 镜像 ，Docker 会 提示 有 容器 正在 运行 ， 无 法 删除 : 


$ docker rmi ubuntu:14.04 
Error response from daemon: conflict: unable to remove repository reference "ubuntu: 


14.04" 
8flbd21bd25c 


(must force) - container a21c0840213e is using its referenced image 


如 果 要 想 强行 删除 镜像 ， 可 以 使 用 -f 参 数 。 


$ docker rmi -f ubuntu:14.04 
Untagged: ubuntu:14.04 
Deleted: sha256:8flbd21bd25c3fb1d4b00b7936a73a0664f932e11406c48a0ef19982fd0b7342 


注意 ， 通 常 并 不 推荐 使 用 -{ 参 数 来 强制 删除 一 个 存在 容器 依赖 的 镜像 。 正 确 的 做 法 是 ， 先 删除 依赖 该 镜像 的 所 有 容器 ， 再 来 删除 镜像 。 首 先 删除 容器 321c0840213e: 


$ docker rm a21c0840213e 


再 使 用 ID 来 删除 镜像 ， 此 时 会 正常 打印 出 删除 的 各 层 信息 : 


Untagged: ubuntu:14.04 


Deleted: 
Deleted: 
Deleted: 
Deleted: 
Deleted: 
Deleted: 


sha256: 
sha256: 
sha256: 
sha256: 
sha256: 
sha256: 


8£f1bd21bd25c3fb1d4b00b7936a73a0664f932e11406c48a0ef19d82fd0b7342 
8ea3b9ba4dd9d448dlca3ca7afa8989d033532c11050f5e129d267be8de9c1b4 
7db5fb90eb6ffb6b5418f76dde5f£685601fad200a8f4698432ebf8ba80757576 
19a7e879151723856fb640449481c65c55fc9e186405dd74ae6919f88eccce75 
c357a3f74f16f61c2cc78dbb0aelff8c8f4fa79be9388qb38a87c7d8010b2fe4 
a7elc363defb1f80633f3688e945754fc4c8f1543f07114befb5e0175d569f4c 


3.5 “创建 镜像 


创建 镜像 的 方法 主要 有 三 种 : 基于 已 有 镜像 的 容器 创建 、 基 于 本 地 模板 导入 、 基 于 Dockerfile 创 建 。 


本 节 将 重点 介绍 前 两 种 方法 。 最 后 一 种 基于 Dockerfile 创 建 的 方法 将 在 后 续 章 节 专 门 予以 详细 介绍 。 


1. 基 于 已 有 镜像 的 容器 创建 


该 方法 主 


' -5C，--change= 


“ -p，--pause=true: 提交 时 暂停 容器 运行 。 


下 面 将 演示 如 何 使 用 该 命令 创建 一 个 新 镜像 。 首 先 ， 启 动 一 个 镜像 ， 并 在 其 中 进行 修改 操作 ， 例 如 创建 一 个 test 文 件 ， 之 后 退出 : 


是 使 


'-a，--authot 一 


“ -m,，--message= 


docker commit 命 令 。 命 令 格式 为 docker commit[OPTIONS]JCONTAINER[REPOSITORY[: TAG]]， 主 要 选项 包括 : 


: 提交 的 时 候 执行 Dockerfile 指 令 ， 包 括 CMD|ENTRYPOINT|ENV|EXPOSE|LABEL|ONBUILLD|USERIVOLUME|WORKDIR 等 ; 


: 提交 消息 ; 


a 


$ docker run -it ubuntu:14.04 /bin/bash 
root@a925cb40b3£0:/# touch test 
root@a925cb40b3f0:/# exit 


记 住 容器 的 ID 为 a925cb40b3f0。 


此 时 该 容器 跟 原 ubuntu: 14.04 镜 像 相 比 ， 已 经 发 生 了 改变 ， 可 以 使 用 docker commit 命 令 来 提交 为 一 个 新 的 镜像 。 提 交 时 可 以 使 用 ID 或 名 称 来 指定 容器 : 


$ docker commit -m "Rdded a new file" -a "Docker Newbee" a925cb40b3f0 test:0.1 
9e9c814023bcffc3e67e892a235afe61b02f66a947d2747f724bd317dqa02f27 


顺利 的 话 ， 会 返回 新 创建 的 镜像 的 ID 信息 ， 例 如 9e9c814023bcffc3e67e892a235afe61b02f66a947d2747f724bd317dda02f27。 


此 时 查看 本 地 镜像 列表 ， 会 发 现 新 创建 的 镜像 已 经 存在 了 : 


$ docker :images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
test 0.1 9e9c814023bc 4 seconds ago 188 MB 
2. 基 于 本 地 模板 导入 
也 可 以 直接 从 一 个 操作 系统 模板 文件 导入 一 个 镜像 ， 主 要 使 用 docker import 命 令 。 命 令 格式 为 docker import[OPTIONS]file|URL|-[REPOSITORY[:TAG]]。 


要 直接 导入 一 个 镜像 ， 可 以 使 用 OpenVZ 提 供 的 模板 来 创建 ， 或 者 用 其 他 已 导出 的 镜像 模板 来 创建 。OPENVZ 模 板 的 下 载 地 址 为 http://openvz.org/Download/templates/precreated。 


例如 ， 下 载 了 ubuntu-14.04 的 模板 压缩 包 ， 之 后 使 用 以 下 命令 导入 : 


$ cat ubuntu-14.04-x86 64-minimal.tar.gz | docker import - ubuntu:14.04 


然后 查看 新 导入 的 镜像 ， 会 发 现 它 已 经 在 本 地 存在 了 : 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 05ac7c0b9383 17 seconds ago 215.5 MB 


3.6 ” 存 出 和 载 入 镜像 


可 以 使 用 docker save 和 docker load 命 令 来 存 出 和 载 入 镜像 。 


1. 存 出 镜像 


如 果 要 导出 镜像 到 本 地 文件 ， 可 以 使 用 docker Save 命令。 例如 ， 导 出 本 地 的 ubuntu: 14.04 镜 像 为 文件 ubuntu_14.04.tar， 如 下 所 示 : 


$ docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 

Ubuntu 14.04 8flbd21bd25c 2 weeks ago 188 MB 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
$ docker save -o ubuntu 14.04.tar ubuntu:14.04 


之 后 ， 用 户 就 可 以 通过 复制 ubuntu_14.04.tar 文 件 将 该 镜像 分 享 给 他人。 


2. 载 入 镜像 


可 以 使 用 docker load 将 导出 的 tar 文 件 再 导入 到 本 地 镜像 库 ， 例 如 从 文件 ubuntu_14.04.tar 导 入 镜像 到 本 地 镜像 列表 ， 如 下 所 示 : 


$ docker load --input ubuntu 14.04.tar 


或 : 


$ docker load < ubuntu 14.04.tar 


这 将 导入 镜像 及 其 相关 的 元 数据 信息 (包括 标签 等 ) 。 导 入 成 功 后 ， 可 以 使 用 docker images 命 令 进行 查看 。 


3.7 ”上传 镜像 


可 以 使 用 docker push 命 令 上 传 镜 像 到 仓库 ， 默 认 上 传 到 Docker Hub 官 方 仓库 (需要 登录 ) 。 命 令 格式 为 : 


docker push NAME[:TAG] | [REGISTRY HOST[:REGISTRY PORT]/]NAME[:TAG] 


在 Docker Hub 网 站 注册 后 可 以 上 传 自制 的 镜像 。 例 如 用 户 user 上 传 本 地 的 test: latest 镜 像 ， 可 以 先 添加 新 的 标签 user/test: latest， 然 后 用 docker push 命 令 上 传 镜 像 : 


$ docker tag test:latest user/test:latest 

$ docker push user/test:1atest 

The push refers to a repository [docker.io/user/test] 
Sending image list 

Please login prior to push: 

Username: 

Password: 

Email: 


第 一 次 上 传 时 ， 会 提示 输入 登录 信息 或 进行 注册 。 


3.8 本章 小 结 


本 章 具 体 介 绍 了 围绕 Docker 镜 像 的 一 系列 重要 命令 操作 ， 包 括 获取 、 查 看 、 搜 索 、 删 除 、 创 建 、 存 出 和 载 入 、 上 传 等 。 


网 
于 


镜像 是 使 用 Docker 的 前 提 ， 也 是 最 基本 的 资源 。 所 以 ， 在 平时 的 Docker 使 用 中 ， 要 注意 积累 自己 定制 的 镜像 文件 ， 并 将 自己 创建 的 高 质量 镜像 分 享 到 社 


在 后 续 章 节 ， 笔 者 将 介绍 更 多 对 镜像 进行 操作 的 场景 。 


第 4 章 ”操作 Docker 容 器 


容器 是 Docker 的 男 一 个 核心 概念 。 简 单 来 说 ， 容 器 是 镜像 的 一 个 运行 实例 。 所 不 同 的 是 ,镜像 是 静态 的 只 读 文 件 ， 而 容器 带 有 运行 时 需要 的 可 写 文 件 层 。 如 果 认 为 虚拟 机 是 模拟 运行 的 一 整套 操作 系统 
(包括 内 核 、 应 用 运行 态 环境 和 其 他 系统 环境 ) 和 跑 在 上 面 的 应 用 ， 那 么 Docker 容 器 就 是 独立 运行 的 一 个 (或 一 组 ) 应 用 ， 以 及 它们 必需 的 运行 环境 。 


本 章 将 具体 介绍 围绕 容器 的 重要 操作 ， 包 括 创建 一 个 容器 、 启 动容 器 、 终 止 一 个 容器 、 进 入 容器 内 执行 操作 、 删 除 容器 和 通过 导入 导出 容器 来 实现 容器 迁移 等 。 


4.1 创建 容器 


从 现在 开始 ， 忘 掉 “ 腔 有 种” 的 虚拟 机 吧 。 对 容器 进行 操作 就 跟 直接 操作 应 用 一 样 简单 、 快 速 。Docker 容 器 实在 太 轻 量 级 了 ， 用 户 可 以 随时 创建 或 删除 容器 。 


1 新 建 容器 


可 以 使 用 docker create 命 令 新 建 一 个 容器 ,例如 : 


$ docker create -it ubuntu:latest 


af8f4f922dafee22c8fe6cd2ael1d16e25087d61f1lblfa55b36e94db7ef45178 


$ docker ps -a 
CONTAINER ID IMAGE COMMAND CREATED 


STATUS PORTS NAMES 


af8f4f922daf ubuntu:latest "/bin/bash" 17 seconds ago Created silly euler 


使 用 docker create 命 令 新 建 的 容器 处 了 


停止 状态 ， 可 以 使 用 


docker start 命 令 来 启动 它 。 


Create 命 令 和 后 续 的 run 命 令 支持 的 选项 都 十 分 复杂 ， 主 要 包括 如 下 几 大 类 : 与 容器 运行 模式 相关 、 与 容器 和 环境 配置 相关 、 与 容器 资源 限制 和 安全 保护 相关 ， 参 见 表 4-1、 表 4-2、 表 4-3。 


选 


-a, 一 -attach= [] 


项 


-d, --detach=true|false 


--detach-keys=" 
--entrypoint="" 
--expose=[] 


--group-add= [] 


-i, --interactive=true|false 


--ipc= 


1 


--isolation="default" 


--log-driver="json-file" 


--l10g-opt=[] 
--net="bridge" 


--net-alias=[] 


-P, --publish-all=truel|false 


-p, --publish=[ 
--pid=host 
--uUserns="" 


--uts=host 
--restart="no" 


--rm=true|false 
-t, --tty=truel| 
--tmpfs=[] 


] 


false 


-Vv|--volume [=[[HOST-DIR:] 
CONTAINER-DIR[ :OPTIONS]]] 


--volume-driver="" 


--volumes-from=[] 


-W -—-workdir=" 


选 
--add-host=[] 
--device=[] 


--dns-search=[] 


项 


表 4-1 create 命 令 与 容器 运行 模式 相关 的 选项 


说 明 

是 否 绑 定 到 标准 输入 、 输 出 和 错误 

是 否 在 后 台 运 行 容 需 ， 默 认为 否 

从 attach 模式 退出 的 快捷 键 

镜像 存在 入 口 命令 时 ， 覆 盖 为 新 的 命令 

指定 容 需 会 暴露 出 来 的 端口 或 端口 范围 

运行 容 需 的 用 户 组 

保持 标准 输入 打开 ， 默 认为 false 

容 右 IPC 命名 空间 ， 可 以 为 其 他 容器 或 主机 

容器 使 用 的 隔离 机 制 

指定 容器 的 日 志 驱 动 类 型 ， 可 以 为 json-file、syslog、journald、 
gelf、 fluentd、 awslogs、splunk、etwlogs、gcplogs 或 none 

传递 给 日 志 驱 动 的 选项 

指定 容 需 网 络 模式 ， 包 括 bridqge 、none、 其 他 容 需 内 网 络 、host 的 
网 络 或 某 个 现 有 网 络 等 

容 需 在 网 络 中 的 别名 

通过 NAT 机 制 将 容 需 标记 暴露 的 端口 自动 映射 到 本 地 主机 的 临时 端口 

指定 如 何 映射 到 本 地 主机 端口 ， 例 如 -p 11234-12234:1234-2234 

容器 的 PID 命名 空间 

启用 userns-remap 时 配置 用 户 命 名 空间 的 模式 

容器 的 UTS 命名 空间 

容器 的 重启 策略 ， 包 括 no、on-failure[:max-retry] 、always、 
unless-stopped 等 

容器 退出 后 是 否 自 动 删除 ， 不 能 跟 -d 同时 使 用 

是 否 分 配 一 个 伪 终 端 ， 默 认为 false 

挂 载 临时 文件 系统 到 容 需 


挂 载 主机 上 的 文件 卷 到 容器 内 


挂 载 文件 卷 的 驱动 类 型 
从 其 他 容 需 挂 载 卷 
容 需 内 的 默认 工作 目录 


表 4-2 create 命令 与 容器 环境 和 配置 相关 的 选项 


说 明 
在 容器 内 添加 一 个 主机 名 到 IP 地 址 的 映射 关系 (通过 /etc/hosts 文件 ) 
上 映射 物理 机 上 的 设备 到 容 需 内 
DNS 搜索 域 


( 续 ) 


选 项 说 有明 
--dns-opt=[] 自 定义 的 DNS 选项 
--dns=[] 自 定义 的 DNS 服务 器 
-e, --env=[] 指定 容 需 内 环境 变量 
--env-file=[] 从 文件 中 读 取 环 境 变 量 到 容器 内 
-h, --hostname="" 指定 容 需 内 的 主机 名 
--ip="" 指定 容 需 的 IPv4 地 址 
--ip6="" 指定 容 需 的 IPv6 地 址 
--link=[<name or id>:alias] 链接 到 其 他 容器 
--mac-address="" 指定 容器 的 Mac 地 址 
--name="" 指定 容器 的 别名 


表 4-3 cteate 命 令 与 容器 资源 限制 和 安全 保护 相关 的 选项 
选 项 说 ”有明 
--blkio-weight=10~1000 容器 读 写 块 设备 的 IO 性 能 权重 ， 默 认为 0 
--blkio-weight-device= 


个 a A IO ， 各 已 网 
[DEVICE_NRAME :WEIGHT] 指定 各 个 块 设备 的 IO 性 能 权重 


--cpu-shares=0 允许 容 需 使 用 CPU 资源 的 相对 权重 ， 上 默认 一 个 容器 能 用 满 一 个 核 的 CPU 

--cap-add=[] 增加 容器 的 Linux 指定 安全 能 ; 

--cap-drop=[] 移 除 容器 的 Linux 指定 安全 能 力 

--cgroup-parent="" 容 需 cgroups 限制 的 创建 路 径 

--cidfile="" 指定 容器 的 进程 ID 号 写 到 文件 

--cpu-period=0 限制 容器 在 CFS 调度 器 下 的 CPU 占用 时 间 片 

--cpuset-cpus="" 限制 容 需 能 使 用 哪些 CPU 核心 

--cpuset-mems="" NUMA 架构 下 使 用 哪些 核心 的 内 存 

--cpu-quota=0 限制 容 需 在 CFS 调度 天 下 的 CPU 配额 

--device-read-bps=[] 挂 载 设备 的 读 吞 吐 率 (以 bps 为 单位 ) 限制 

--device-write-bps=[] 挂 载 设备 的 写 大 吐 率 (以 bps 为 单位 ) 限制 

--device-read-iops=[] 挂 载 设 备 的 读 速率 (以 每 秒 io 次 数 为 单位 ) 限制 

--device-write-iops=[] 挂 载 设备 的 写 速率 (以 每 秒 io 次 数 为 单位 ) 限制 

--kernel-memory="" 限制 容器 使 用 内 核 的 内 存 大 小 ,单位 可 以 是 b、k、m 或 g 

-m, --memory="" 限制 容器 内 应 用 使 用 的 内 存 ， 单 位 可 以 是 bp、k、m 或 g 

OT 当 系 统 中 内 存 过 低 时 ， 容 器 会 被 强制 限制 内 存 到 给 定 值 ， 默 认 情 况 下 
等 于 内 存 限 制 值 

--memory-swap="LIMIT" 限制 容器 使 用 内 存 和 交换 区 的 总 大 小 

--oom-kill-disable=true|false 内 存 耗 尽 (Out-Of-Memory) 时 是 否 杀 死 容器 

--oom-score-adj="" 调整 容器 的 内 存 耗 尽 参数 

--pids-limit="" 限制 容 右 的 pid 个 数 


是 否 给 容器 以 高 权限 ， 这 意味 着 容器 内 应 用 将 不 受权 限 下 限制 ， 一 般 
不 推荐 


--privileged=true|false 


( 续 ) 


选 项 说 。 明 


--read-only=true|false 是 否 让 容 需 内 的 文件 系统 只 读 

--security-opt=[] 指定 一 些 安全 参数 ， 包 括 权 限 、 安 全 能 力 、apparmor 等 
--stop-signal=SIGTERM 指定 停止 容器 的 系统 信号 

--shm-size="" /dev/shm 的 大 小 


是 否 代 理 收 到 的 信号 给 应 用 ， 默认 为 tue， 不 能 代理 SIGCHLD、 
SIGSTOP 和 SIGKILL 信和 号 
--memory-swappiness="0~100" 调整 容器 的 内 存 交 换 区 参数 
-u, --user="" 指定 在 容器 内 执行 命令 的 用 户 信息 
--ulimit=[] 通过 ulimit 来 限制 最 大 文件 数 、 最 大 进程 数 等 


--sig-proxy=true|false 


其 他 比较 重要 的 选项 还 包括 : 


“ -1，--label=[: 以 键 值 对 方式 指定 容器 的 标签 信息 ; 


“ --label-file=[|: 从 文件 中 读 取 标签 信息 。 
2. 启 动容 器 


使 用 docker start 命 令 来 启动 一 个 已 经 创建 的 容器 ， 例 如 启动 刚 创建 的 ubuntu 容 器 : 


$ docker start af 
af 


此 时 ， 通 过 docker ps 命令 可 以 查看 一 个 运行 中 的 容器 : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
af8f4f922daf ubuntu:latest "/bin/bash" 2 minutes ago Up 7 seconds silly euler 


3 新 建 并 启动 容器 


除了 创建 容器 后 通过 start 命 令 来 启动 ， 也 可 以 直接 新 建 并 启动 容器 。 所 需要 的 命令 主要 为 docker run， 等 价 于 先 执行 docker create 命 令 ， 再 执行 docker start 命 令 。 


例如 ， 下 面 的 命令 输出 一 个 “Hello World”， 之 后 容器 自动 终止 : 


$ docker run ubuntu /bin/echo 'Hello world' 
Hello world 


这 跟 在 本 地 直接 执行 /bin/echo'hello world' 几 乎 感觉 不 出 任何 区 别 。 


当 利用 docker run 来 创建 并 启动 容器 时 ，Docker 在 后 台 运 行 的 标准 操作 包括 : 


“ 检查 本 地 是 否 存在 指定 的 镜像 ， 不 存在 就 从 公有 仓库 下 载 ; 


“ 利用 镜像 创建 一 个 容器 ， 并 启动 该 容器 ; 


:分配 一 个 文件 系统 给 容器 ， 并 在 只 读 的 镜像 层 外 面 挂 载 一 层 可 读 写 层 ; 


“ 从 宿主 主机 配置 的 网 桥接 口中 桥接 一 个 虚拟 接口 到 容器 中 ，; 


“从 网 桥 的 地 址 池 配 置 一 个 了 地址 给 容器 ; 


“ 执行 用 户 指定 的 应 用 程序 ; 


“ 执行 完毕 后 容器 被 自动 终止 。 


下 面 的 命令 启动 一 个 bash 终 端 ， 允 许 用 户 进 行 交互 : 


$ docker run -it ubuntu:14.04 /bin/bash 
root@af8bae53bdd3:/# 


其 中 ，-t 选 项 让 Docker 分 配 一 个 伪 终 端 (pseudo-tty) 并 绑 定 到 容器 的 标准 输入 上 ，- 册 让 容器 的 标准 输入 保持 打开 。 更 多 的 命令 选项 可 以 通过 man docker-run 命 令 来 查看 。 


在 交互 模式 下 ， 用 户 可 以 通过 所 创建 的 终端 来 输入 命令 ， 例 如 : 


root@af8bae53bdd3:/# pwd 


root@af8bae53bdd3:/# ls 
bin boot dev etc home lib 1ib64 media mnt opt proc root run sbin srv SYS tmp usr var 
root@af8bae53bdd3:/# ps 
PID TE TIME CMD 
竺 阁 00:00:00 bash 
3 未 00:00:00 ps 


在 容器 内 用 ps 命令 查看 进程 ， 可 以 看 到 ， 只 运行 了 bash 应 用 ， 并 没有 运行 其 他 无 关 的 进程 。 


户 可 以 按 Ctrl+ d 或 输入 exit 命 令 来 退出 容器 : 


root@af8bae53bdd3:/# exit 
exit 


对 于 所 创建 的 bash 容 器 ， 当 使 用 exit 命 令 退 出 之 后 ， 容 器 就 自动 处 于 退出 (Exited) 状态 了 。 这 是 因为 对 Docker 容 器 来 说 ， 当 运行 的 应 用 退出 后 ， 容 器 也 就 没有 继续 运行 的 必要 了 。 


某 些 时 候 ， 执 行 docker run 会 出 错 ， 因 为 命令 无 法 正常 执行 容器 会 直接 退出 ， 此 时 可 以 查看 退出 的 错误 代码 。 


默认 情况 下 ， 常 见 错误 代码 包括 : 


' 125: Docker daemon 执 行 出 错 ， 例 如 指定 了 不 支持 的 Docker 命 令 参 数 ; 
126: 所 指定 命令 无 法 执行 ,例如 权限 出 错 ; 


127: 容器 内 命令 无 法 找到 。 


更 多 的 时 候 ， 需 要 让 Docker 容 器 在 后 台 以 守护 态 (Daemonized) 形式 运行 。 此 时 ， 可 以 通过 添加 -d 参 数 来 实现 。 


例如 下 面 的 命令 会 在 后 台 运 行 容器 : 


$ docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 1; done" 
ce554267d7a4c34eefc92c5517051dc37b918b588736d0823e4c846596b04d83 


容器 启动 后 会 返回 一 个 唯一 的 id， 也 可 以 通过 docker ps 命令 来 查看 容器 信息 : 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t About a minute ago Up About 
a minute determined pik 


此 时 ， 要 获取 容器 的 输出 信息 ， 可 以 如 下 使 用 docker logs 命 令 : 


$ docker logs ce5 
hello world 
hello world 
hello world 


4.2 终止 容器 


可 以 使 用 docker stop 来 终止 一 个 运行 中 的 容器 。 该 命令 的 格式 为 docker stop[-tl--time[=10]][CONTAINERhttp://www.hzcourse.comy/resource/readBook? 


path=/openresources/teach_ebook/uncompressed/16033/OEBPS/VText/…]。 


首先 向 容器 发 送 SIGTERM 信 号 ， 等 待 一 段 超时 时 间 (默认 为 10 秒 ) 后 ， 再 发 送 SIGKILL 信 号 来 终止 容器 : 


$ docker stop ce5 
ce5 


四 济 


docker ki 命令 会 直接 发 送 SIGKILL 信 号 来 强行 终止 容器 。 


此 外 ， 当 Docker 容 器 中 指定 的 应 用 终结 时 ， 容 器 也 会 自动 终止 。 例 如 对 于 上 一 节 中 只 启动 了 一 个 终端 的 容器 ， 用 户 通过 exit 命 令 或 Ctrl+ d 来 退出 终端 时 ， 所 创建 的 容器 立刻 终止 ， 处 于 stopped 状 态 。 


可 以 用 docker ps-qa 命 令 看 到 所 有 容器 的 ID。 例 如 : 


$ docker ps -qa 
ce554267d7a4 
d58050081fe3 
e812617b41f6 


处 于 终止 状态 的 容器 ， 可 以 通过 docker start 命 令 来 重新 启动 : 


$ docker start ce5 


ce5 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ce554267d7a4 ubuntu:latest "/bin/sh -c 'while 七 4 minutes ago Up 5 seconds 


determined pike 


此 外 ，docker restart 命 令 会 将 一 个 运行 态 的 容器 先 终止 ， 然 后 再 宇 


man 


新 启动 它 : 


$ docker restart ce5 

ce5 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t 5 minutes ago Up 14 seconds 
determined pike 


4.3 ”进入 容器 


在 使 用 -d 参 数 时 ， 容 器 启动 后 会 进入 后 台 ， 用 户 无 法 看 到 容器 中 的 信息 ， 也 无 法 进行 操作 。 


这 个 时 候 如 果 需 要 进入 容器 进行 操作 ， 有 多 种 方法 ， 包 括 使 用 官方 的 attach 或 exec 命 令 ， 以 及 第 三 方 的 nsenter 工 具 等 。 下 面 分 别 介绍 一 下 。 


1.attach 命 令 


attach 是 Docker 自 带 的 命令 ， 命 令 格 式 为 : 


docker attach [--detach-keys[=[]]] [--no-stdin] [--sig-Proxy[=true]] CONTAINER 


支持 三 个 主要 选项 : 
“ --detach-keys[= 山 : 指定 退出 attach 模 式 的 快捷 键 序列 ， 默 认 是 CTRL-P CTRIL-q; 
“ -no-stdin=true|false: 是 否 关闭 标准 输入 ， 默 认 是 保持 打开 ; 


-sig-proxy=true |false; 是 否 代理 收 到 的 系统 信号 给 应 用 进程 ， 默 认为 true。 


下 面 示例 如 何 使 用 该 命令 : 


$ docker run -itd ubuntu 
243c32535da7d142fb0e6df616a3c3ada0b8ab417937c853a9elc251f499f550 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
243c32535da7 ubuntu:latest "/bin/bash" 18 seconds ago Up 17 seconds 


nostalgic hypatia 
$ docker attach nostalgic hypatia 
root@243c32535da7:/# 


但 是 使 用 attach 命 令 有 时 候 并 不 方便 。 当 多 个 窗口 同时 用 attach 命 令 连 到 同一 个 容器 的 时 候 ， 所 有 窗口 都 会 同步 显示 。 当 某 个 窗口 因 命令 阻塞 时 ， 其 他 窗口 也 无 法 执行 操作 了 。 


2.exec 命 令 


Docker 从 1.3.0 版 本 起 提供 了 一 个 更 加 方便 的 exec 命 令 ， 可 以 在 容器 内 直接 执行 任意 命令 。 该 命令 的 基本 格式 为 : 


docker exec [-dl--detach] [--detach-keys [=[]]] [-i|--interactive] [--privileged] 
[-tl--tty] [-ul--user[=USER]] CONTAINER COMMAND [ARGhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/O0EBPS/Text/...]. 


比较 重要 的 参数 有 : 
“ -i，--interactive=true|false: 打开 标准 输入 接受 用 户 输入 命令 ， 默 认为 false; 
“ --privileged=true|false: 是 否 给 执行 命令 以 高 权限 ， 黑 认为 false; 
“ -t，--tty=true |false: 分 配 伪 终 端 ， 默 认为 false; 
" -u，--user="; 执行 命令 的 用 户 名 或 ID。 


例如 进入 到 刚 创建 的 容器 中 ， 并 启动 一 个 bash : 


$ docker exec -it 243c32535da7 /bin/bash 
root@243c32535da7:/# 


可 以 看 到 ， 一 个 bash 终 端 打开 了 ， 在 不 影响 容器 内 其 他 应 用 的 前 提 下 ， 用 户 可 以 很 容易 与 容器 进行 交互 。 
@@ 注 章 


通过 指定 -it 参数 来 保持 标准 输入 打开 ， 并 且 分 配 一 个 擅 终端 。 通 过 exec 命 令 对 容器 执行 操作 是 最 为 推荐 的 方式 。 


3.nsenter 工 


在 util-linux 软 件 包 版 本 2.23+ 中 包含 nsenter 工 具 。 如 果 系 统 中 的 util-linux 包 没有 该 命令 ， 可 以 按照 下 面 的 方法 从 源码 安装 : 


回 


$ cd /tmp; curl https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util- 
linux-2.24.tar.gz | tar -zxf-; cd util-linux-2.24; 

$ ./configure --without-ncurses 

$ make nsenter && cp nsenter /usr/local/bin 


为 了 使 用 nsenter 连 接 到 容器 ， 还 需要 找到 容器 进程 的 PID， 可 以 通过 下 面 的 命令 获取 : 


PID=$ (docker inspect --format "{{ .State.Pid }}" <container>) 


通过 这 个 PID， 就 可 以 连接 到 这 个 容器 : 


$ nsenter --target $PID --mount --uts --ipc --net --pid 


下 面 给 出 一 个 完整 的 例子 ， 通 过 nsenter 命 令 进入 容器 : 


$ docker run -idt ubuntu 

243c32535da7d142fb0e6df616a3c3ada0b8ab417937c853a9elc251f499f550 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

243c32535da7 ubuntu:latest "/bin/bash" 18 seconds ago Up 17 seconds 
nostalgic hypatia 

$ PID=$ (docker-pid 243c32535da7) 

10981 

$ nsenter --target 10981 --mount --uts --ipc --net --pid 

root@243c32535da7:/# 


进一步 可 在 容器 中 查看 


户 和 进程 信息 : 


root@ce554267d7a4:/# w 


PCPU WHAT 


00:00:00 /bin/sh -c while true; do echo hello 


11:07:36 up 3:14, 0 users, load average: 0.00, 0.02, 0.05 
USER 和 FROM LOGIN@ IDLE JCEY 
root@ce554267d7a4:/# ps -ef 
UID PID PPID C STIME TTY TIME CMD 
root 1 td T0565 3 

world; sleep 1; done 

root 699 人 OD T1207 生 00:00:00 /bin/bash 
root 716 0 和 00:00:00 sleep 1 
root 和 9% 0 11507 3 00:00:00 ps -ef 


4.4 删除 容器 


可 以 使 


docker rm 命令 来 删除 处 于 终止 或 退 


path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...]。 


“ -f，--force=false: 是 否 强行 终止 并 删除 一 个 运行 中 的 


要 支持 的 选项 包括 : 


“ 了] ，--link=false: 删除 容器 的 连接 ， 但 保留 容器 ; 


' -V，--Volumes=false; 删除 容器 挂 载 的 数据 卷 。 


例如 ， 查 看 处 于 终止 状态 的 容器 ， 并 删除 : 


容器 ; 


tH 状态 的 容器 ， 命 令 格式 为 docker rm[-fl--force][-l|--link]J[-v|--volumes]JCONTAINERI[CONTAINERhttp://www.hzcourse.com/resource/readBook? 


$ docker ps -a 

CONTAINER ID 
NAMES 

ce554267d7a4 


(-1) 13 seconds ago 


qd58050081fe3 


e812617b41f6 


IMAGE 


COMMAND 


ubuntu:1latest 


det 


ubuntu:1latest 
About an hour ago 


ubuntu:1latest 


berse. 


Exited (0) 3 minutes ago 
$ docker rm ce554267d7a4 


ce554267d7a4 


CREATED 


"/bin/sh -c 'while 七 
ermined pike 
"/bin/bash" 
rk brattain 
"echo 


STATUS 


About an hour ago 


'hello! I am h 


PORTS 
3 minutes ago Exited 
Exited (0) 


2 hours ago 


默认 情况 下 ，docker rm 命令 只 能 删除 处 于 终止 或 退出 状态 的 容器 ， 并 不 能 删除 还 处 于 运行 状态 的 容器 。 


如 果 要 直接 删除 一 个 运行 中 的 容器 ， 可 以 添加 -参数 。Docker 会 先 发 送 SIGKILL 信 号 给 容器 ， 终 止 其 中 的 应 用 ， 之 后 强行 删除 ， 如 下 所 示 : 


$ docker run -d ubuntu:14.04 


sleep 1; done" 
2aed76caf8292c7da6d24c3c7f3a81al35af942ed1707a79f85955217d4dd594 


$ docker rm 2ae 


/bin/sh -c "while true; do echo hello world; 


Error response from daemon: You cannot remove a running container. Stop the 
container before attempting removal or use -f 


2016/07/03 09:02:24 Error: 


$ docker rm -f 2 
2ae 


ae 


failed to remove one or more containers 


4.5 ”导入 和 导出 容器 


某 些 时 候 ， 需 


1. 导 出 容器 


导出 容器 是 指导 出 一 个 已 经 创建 的 容器 到 一 个 文件 ， 不 管 此 时 这 个 容器 是 否 处 于 运行 状态 ， 可 以 使 


将 容器 从 一 个 系统 迁移 到 另外 一 个 系统 ， 此 时 可 以 使 


Docker 的 导入 和 导出 功能 。 这 也 是 Docker 自 身 提供 的 一 个 重要 特性 。 


docker export 命 令 ， 该 命令 的 格式 为 docker export[-o|--output[=""]]JCONTAINER。 


通过 -o 选 项 来 指定 导出 的 tar 文 件 名 ， 也 可 以 直接 通过 重 定向 来 实现 。 


首先 查看 所 有 的 容器 ， 如 下 所 示 : 


其 中 ， 可 以 


$ docker ps -a 
CONTAINER ID 
ce554267d7a4 


IMAGE COMMAND 
ubuntu:latest 


Exited (-1) 13 seconds ago 


qd58050081fe3 


ubuntu:latest 


Exited (0) About an hour ago 


e812617b41f6 


ubuntu: latest 


Exited (0) 3 minutes ago 


CREATED 
"/bin/sh -c 


STATUS 


"/bin/bash" 


"echo 


"while t" 


'hello! I am h" 


PORTS NAMES 
3 minutes ago 
determined pike 
About an hour ago 
berserk brattain 
”2 hours ago 
silly leakey 


分 别 导出 ce554267d7a4 容 器 和 e812617b41f6 容 器 到 文件 test_for_run.tar 文 件 和 test_for_stop.tar 文 件 : 


$ docker export -o test for run.tar ce5 


$ 1s 
test for run.tar 


$ docker export e81 >test for stop.tar 


$ 1s 


test_ for run.tar test for stop.tar 


之 后 ， 可 将 导出 的 tar 文 件 传输 到 其 他 机 器 上 ， 然 后 再 通过 导入 命令 导入 到 系统 中 ， 从 而 实现 容器 的 迁移 。 


2. 导 入 容器 
寻 出 的 文件 又 可 以 使 用 docker import 命 令 导入 变 成 镜像 ， 该 命令 格式 为 : 
docker import [-cl--change[=[]]] [-m|--message[=MESSAGE]] file|URL|- [REPOSITORY 


[:TAG]] 


户 可 以 通过 -c，--change=[] 选 项 在 导入 的 同时 执行 对 容器 进行 修改 的 Dockerfile 指 令 (可 参考 第 8 章 内 容 ) 。 


下 面 将 导出 的 test_ for_run.tar 文 件 导入 到 系统 中 : 


$ docker import test for run.tar - test/ubuntu:v1.0 

$ docker images 0 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
test/ubuntu V1.0 9dq37a6082e97 About a minute ago 171.3 MB 


之 前 镜像 章节 中 笔者 曾 介 绍 过 使 用 docker load 命 令 来 导入 一 个 镜像 文件 ， 与 docker import 命 令 十 分 类 似 。 


实际 上 ， 既 可 以 使 用 docker load 命 令 来 导入 镜像 存储 文件 到 本 地 镜像 库 ， 也 可 以 使 用 docker import 命 令 来 导入 一 个 容器 快照 到 本 地 镜像 库 。 


这 两 者 的 区 别 在 于 容器 快照 文件 将 丢弃 所 有 的 历史 记录 和 元 数据 信息 ( 即 仪 保存 容器 当时 的 快照 状态 ) ， 而 镜像 存储 文件 将 保存 完整 记录 ， 体 积 也 更 大 。 此 外 ， 从 容器 快照 文件 导入 时 可 以 重新 指定 标 
签 等 元 数据 信息 。 


4.6 本章 小 结 


容器 是 直接 提供 应 用 服务 的 组 件 ， 也 是 Docker 实 现 快速 启 停 和 高 效 服务 性 能 的 基础 。 


通过 本 章 内 容 的 介绍 和 示例 ， 相 信 读 者 很 快 能 掌握 对 容器 整个 生命 周期 进行 管理 的 各 项 操作 命令 。 


在 生产 环境 中 ， 因 为 容器 自身 的 轻 量 级 特性 ， 笔 者 推荐 使 用 容器 时 在 一 组 容器 前 引入 HA (High Availabilty， 高 可 靠 性 ) 机 制 。 例 如 使 用 HAProxy 工 具 来 代理 容器 访问 ， 这 样 在 容器 出 现 故障 时 ， 可 以 
快速 切换 到 功能 正常 的 容器 。 此 外 ， 建 议 通过 指定 合适 的 容器 重启 策略 ， 来 自动 重启 退出 的 容器 。 


第 5 章 ”访问 Docker 仓 库 


仓库 (Repository) 是 集中 存放 镜像 的 地 方 ， 分 公共 仓库 和 私有 仓库 。 一 个 容易 与 之 混淆 的 概念 是 注册 服务 器 (Registry) 。 实 际 上 注册 服务 器 是 存放 仓库 的 具体 服务 器 ， 一 个 注册 服务 器 上 可 以 有 多 
个 仓库 ， 而 每 个 仓库 下 面 可 以 有 多 个 镜像 。 从 这 方面 来 说 ， 可 将 仓库 看 做 一 个 具体 的 项 目 或 目录 。 例 如 对 于 仓库 地 址 private-docker.com/ubuntu 来 说 ，private-docker.com 是 注册 服务 器 地 址 ，ubuntu 
是 仓库 名 。 


本 章 将 介绍 如 何 使 用 Docker Hub 官 方 仓库 ， 包 括 登录 、 下 载 等 基本 操作 ， 以 及 如 何 使 用 国内 社区 提供 的 仓库 ， 最 后 介绍 创建 和 使 用 私有 仓库 的 基本 操作 。 


5.1 ”Docker Hub 公 共 镜 像 市 场 


目前 Docker 官 方 维护 了 一 个 公共 镜像 仓库 https://hub.docker.com， 其 中 已 经 包括 超过 15000 的 镜像 。 大 部 分 镜像 需求 ， 都 可 以 通过 在 Docker Hub 中 直接 下 载 镜像 来 实现 ， 如 图 5-1 所 示 。 


1. 登 录 


可 以 通过 命令 行 执行 docker login 命 令 来 输入 用 户 名 、 密 码 和 邮箱 来 完成 注册 和 登录 。 注 册 成 功 后 ， 本 地 用 户 目录 的 .dockercfg 中 将 保存 用 户 的 认证 信息 。 


登录 成 功 的 用 户 可 以 上 传 个 人 制造 的 镜像 。 


2. 基 本 操作 


户 无 需 登录 即 可 通过 docker search 命 令 来 查找 官方 仓库 中 的 镜像 ， 并 利用 docker pull 命 令 来 将 它 下 载 到 本 地 。 


Explore Official Repos 


© 
PR 


: 


itories 


图 5-1 Docker Hub 是 最 大 的 公共 镜像 仓库 


在 搜寻 镜像 的 章节 ， 已 经 具体 介绍 了 如 何 使 用 docker pull 命 令 。 例 如 以 centos 为 关键 词 进行 搜索 : 


$ docker search centos 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

centos The official build of CentOsS . 2507 [OK] 

ansible/centos7-ansible Ansible on Centos7 82 [OK] 

jdeathe/centos-ssh CentOS-6 6.8 x86 64 / CentOS-7 7.2.1511 x8http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/.. 27 


nimmis/java-centos This is docker images of CentOs 7 with difhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/.. 1 
millionl2/centos-supervisor Base CentOS-7 with supervisord launcher, hhttp://www.hzcourse. Sm/ esouroe/ readBook Paths/openresouroes/ each ebook/uncompressed/16033/0EBPS/Text/. 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/.. 


根据 是 否 为 官方 提供 ， 可 将 这 些 镜像 资源 分 为 两 类 。 


字 。 


某 


还 有 一 种 类 型 ， 比 如 ansible/centos7-an 
个 用 户 提供 的 镜像 。 


sible 镜 像 ， 它 是 由 Docker 用 户 ansible 创 建 并 维护 的 ， 带 有 用 户 名 称 为 前 缀 ， 表 明 是 某 用 户 下 的 某 仓库 。 


另外 ， 在 查找 的 时 候 通 过 -s N 参 数 可 以 指定 仅 显 示 评 价 为 N 星 以 上 的 镜像 。 


下 载 官方 centos 镜 像 到 本 地 ， 如 下 所 示 : 


一 种 是 类 似 centos 这 样 的 基础 镜像 ， 称 为 基础 或 根 镜像 。 这 些 镜像 是 由 Docker 公 司 创 建 、 验 证 、 支 持 、 提 供 。 这 样 的 镜像 往往 使 用 


单个 单词 作为 名 


可 以 通过 用 户 名 称 前 缀 user_name/ 镜 像 名 来 指定 使 用 


$ docker pull centos 

Pulling repository centos 
0b443ba03958: Download complete 
539c0211cd76: Download complete 
511136ea3c5a: Download complete 
7064731afe90: Download complete 


@is 


Ansible 是 知名 自动 化 部 署 配 置 管 理工 具 。 


Wu 


.自动 创建 


用 户 也 可 以 在 登录 后 通过 docker push 命 令 来 将 本 地 镜像 推送 到 Docker Hub。 


F 需 要 经 常 升级 镜像 内 程序 来 说 ， 十 分 方便 。 有 了 时候， 用 


自动 创建 (Automated Builds) 功能 对 了 


户 创建 了 镜像 ， 安 装 了 某 个 软件 ， 如 果 软件 发 布 新 版 本 则 需要 手动 更 新 镜像 。 


而 自动 创建 允许 用 户 通过 Docker Hub 指 定 跟踪 一 个 目标 网 站 (目前 支持 GitHub 或 BitBucket) 上 的 项 目 ， 一 旦 项 目 发 生 新 的 提交 ， 则 自动 执行 创建 。 


要 配置 自动 创建 ， 包 括 如 下 的 步骤 : 


1) 创建 并 登录 Docker Hub， 以 及 目标 网 站 ; “在 目标 网 站 中 连接 帐户 到 Docker Hub; 


2) 在 Docker Hub 中 配置 一 个 “自动 创建 ”; 


3) 选取 一 个 目标 网 站 中 的 项 目 (需要 含 Dockerfile) 和 分 支 ; 


4) 指定 Dockerfile 的 位 置 ， 并 提交 创建 。 


之 后 ， 可 以 在 Docker Hub 的 “自动 创建 ” 


页 面 中 跟踪 每 次 创建 的 状态 


5.2 ”时 速 云 镜像 市 场 


国内 不 少 云 服务 商都 提供 了 Docker 镜 像 市 场 ， 下 面 以 时 速 云 为 例 ( 见 图 5-2) ， 介 绍 如 何 使 用 这 些 市 场 。 


汇聚 国内 外 优秀 的 Docker 镜 像 


@ 拉 取 / 发 布 镜像 


由 


Node,js 运 行 时 环境 ， 快 速 部 团 
Nodejs 应 用 ， 含 示例 代码 ， 开 放 


nodejs 
@ 4884 


图 5-2 ”时 迷 云 镜像 市 场 


1. 查 看 镜像 
访问 https://hub.tenxcloud.com， 即 可 看 到 已 存在 的 仓库 和 存储 的 镜像 ， 包 括 Ubuntu、Java、Mongo、MySQL、Nginx 等 热门 仓库 和 镜像 。 时 速 云 官方 仓库 中 的 镜像 会 保持 跟 DockerHub 中 官方 镜 
像 的 同步 。 


以 MongoDB 仓 库 为 例 ， 其 中 包括 了 2.6、3.0 和 3.2 等 镜像 。 


2. 下 载 镜像 


下 载 镜像 也 是 使 用 docker pull 命 令 ， 但 是 要 在 镜像 名 称 前 添加 注册 服务 器 的 具体 地 址 。 格 式 为 index.tenxcloud.com/<namespace>/<repository>: <tag>。 


例如 ， 要 下 载 Docker 官 方 仓库 中 的 node: latest 镜 像 ， 可 以 使 用 如 下 命令 : 


$ docker pull index.tenxcloud.com/docker library/node:latest 


正常 情况 下 ,镜像 下 载 会 比 直接 从 DockerHub 下 载 快 得 多 。 


通过 docker images 命 令 来 查看 下 载 到 本 地 的 镜像 : 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED SIZEindex.tenxcloud.com/docker library/node latest 


e79fe5711c94 4 weeks ago 660.7 MB 


下 载 后 ， 可 以 更 新 镜像 的 标签 ， 与 官方 标签 保持 一 致 ， 方 便 使 


$ docker tag index.tenxcloud.com/docker library/node:latest node:latest 


里 云 等 服务 商 也 已 经 提供 了 Docker 镜 像 的 下 载 服务 ， 用 户 可 以 根据 服务 质量 自行 选择 。 


本 
| 


另外 ， 


除了 使 用 这 些 公共 镜像 服务 外 ， 还 可 以 搭建 本 地 的 私有 仓库 服务 器 ， 将 在 下 一 节 介绍 。 


5.3 ”搭建 本 地 私有 仓库 


1. 使 用 registry 镜 像 创建 私有 仓库 


安装 Docker 后 ， 可 以 通过 官方 提供 的 registry 镜 像 来 简单 搭建 一 套 本 地 私有 仓库 环境 : 


$ docker run -d -p 5000:5000 registry 


这 将 自动 下 载 并 启动 一 个 registry 容 器 ,创建 本 地 的 私有 仓库 服务 。 


默认 情况 下 ， 会 将 仓库 创建 在 容器 的 /tmpy/registry 目 录 下 。 可 以 通过 -v 参 数 来 将 镜像 文件 存放 在 本 地 的 指定 路 径 。 


例如 下 面 的 例子 将 上 传 的 镜像 放 到 /opt/data/registry 目 录 : 


$ docker run -d -p 5000:5000 -v /opt/data/registry:/tmp/registry registry 


此 时 ， 在 本 地 将 启动 一 个 私有 仓库 服务 ， 监 听 端 口 为 5000。 


2. 管 理 私有 仓库 


在 Ubuntu 14.04 系 统 查看 已 有 的 镜像 : 


首先 在 本 书 环境 的 笔记 本 上 (Linux Mint) 搭建 私有 仓库 ， 查 看 其 地 址 为 10.0.2.2: 5000。 然 后 在 虚拟 机 系统 (Ubuntu 14.04) 里 测试 上 传 和 下 载 镜像 。 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
Ubuntu 14.04 ba5877dc9bec 6 days ago 199.3 MB 


使 用 docker tag 命 令 将 这 个 镜像 标记 为 10.0.2.2: 5000/test (格式 为 docker tag IMAGE[: TAG][REGISTRYHOST/][USERNAME/]NAME[: TAG]) : 


$ docker tag ubuntu:14.04 10.0.2.2:5000/test 
$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 ba5877dc9bec 6 days ago 199.3 MB 
10.0.2.2:5000/test latest ba5877dc9bec 6 days ago 199.3 MB 


使 用 docker push 上 传 标记 的 镜像 : 


$ docker push 10.0.2.2:5000/test 

The Push refers to a repository [10.0.2.2:5000/test] (len: 1) 

Sending image list 

Pushing repository 10.0.2.2:5000/test (1 tags) 

Image 511136ea3c5a already pushed, skipping 

Image 9bad880da3d2 already pushed, skipping 

Image 25fl1f5fb0cb already pushed, skipping 

Image ebc34468f71d already pushed, skipping 

Image 2318d26665ef already pushed, skipping 

Image ba5877dc9bec already pushed, skipping 

Pushing tag for rev [ba5877dc9bec] on 
{http://10.0.2.2:5000/v1/repositories/test/tags/latest} 


curl 查 看 仓库 10.0.2.2: 5000 中 的 镜像 : 


$ curl http://10.0.2.2:5000/v1/search 
{"num results": 1, 
test"}]} 


query": "", "results": [{"description": , "name":; "library/ 


在 结果 中 可 以 看 到 {"description":"",，"name":“"library/test"}， 表 明镜 像 已 经 成 功 上 传 了 。 现 在 可 以 到 任意 一 台 能 访问 到 10.0.2.2 地 址 的 机 器 去 下 载 这 个 镜像 了 。 


比较 新 的 Docker 版 本 对 安全 性 要 求 较 高 ， 会 要 求 仓库 支持 SSL/TLS 证 书 。 对 于 内 部 使 F 


DOCKER_OPTS="--insecure-registry 10.0.2.2:5000" 


的 私有 仓库 ， 可 以 自 


首先 ， 修 改 Docker daemon 的 启动 参数 ， 添 加 如 下 人 参数， 表示 信任 这 个 私有 仓库 ， 不 进行 安全 证 书 检查 : 


行 配置 证 书 或 关闭 对 仓库 的 安全 性 检查 。 


之 后 重启 Docker 服 务 ， 并 从 私有 仓库 中 下 载 镜像 到 本 地 : 


$ sudo service docker restart 

$ docker pull 10.0.2.2:5000/test 

Pulling repository 10.0.2.2:5000/test 

ba5877dc9bec: Download complete 

511136ea3c5a: Download complete 

9bad880da3d2: Download complete 

25f£11f5fb0cb: Download complete 

ebc34468f71d: Download complete 

2318d26665ef: Download complete 

$ docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
10.0.2.2:5000/test latest ba5877dc9bec 6 days ago 199.3 MB 


下 载 后 ， 还 可 以 添加 一 个 更 通用 的 标签 ubuntu: 14.04: 


$ docker tag 10.0.2.2:5000/test ubuntu:14.04 


四 济 


如 果 要 使 用 安全 证 书 ， 用 户 也 可 以 从 较 知 名 的 CA 服务 商 ( 如 verisign) 申请 公开 的 SSL/TLS 证 书 ， 或 者 使 用 openssl 等 软件 来 自行 生成 。 


5.4 ”本 章 小 结 


仓库 概念 的 引入 ,为 Docke! 镜 像 文件 的 分 发 和 管理 提供 了 便捷 的 途径 。 本 章 介绍 的 Docker Hub 和 时 速 云 镜像 市 场 两 个 公共 仓库 服务 ， 可 以 方便 个 人 用 


在 企业 的 生产 环境 中 ， 则 往往 需要 使 用 私有 仓库 来 维护 内 部 镜像 。 在 后 续 部 分 中 ， 将 介绍 私有 仓库 的 更 多 配置 选项 。 


第 6 章 ”Docker 数 据 管 理 


户 进 行 镜像 的 下 载 和 使 用 


等 操作 。 


生产 环境 中 使 用 Docker 的 过 程 中 ， 往 往 需 要 对 数据 进行 持久 化 ， 或 者 需要 在 多 个 容器 之 间 进 行 数据 共享 ， 这 必然 涉及 容器 的 数据 管理 操作 。 


容器 中 管理 数据 主要 有 两 种 方式 : 


“ 数据 卷 (Data Volumes) : 容器 内 数据 直接 映射 到 本 地 主机 环境 ; 


“ 数据 卷 容 器 (Data Volume Containers) : 使 用 特定 容器 维护 数据 卷 。 


本 章 将 首先 介绍 如 何在 容器 内 创建 数据 卷 ， 并 且 把 本 地 的 目录 或 文件 挂 载 到 容器 内 的 数据 卷 中 。 接 下 来 ， 会 介绍 如 何 使 用 数据 卷 容器 在 容器 和 主机 、 容 器 和 容器 之 间 共 享 数据 ， 并 实现 数据 的 备份 和 恢 
复 。 


6.1 数据 卷 


数据 卷 是 一 个 可 供 容器 使 用 的 特殊 目录 ， 它 将 主机 操作 系统 目录 直接 映射 进 容器 ， 类 似 于 Linux 中 的 mount 操 作 。 


数据 卷 可 以 提供 很 多 有 用 的 特性 ， 如 下 所 示 : 


“ 数据 卷 可 以 在 容器 之 间 共 享 和 重用 ， 容 器 间 传 递 数据 将 变 得 高 效 方便 ; 
“ 对 数据 卷 内 数据 的 修改 会 立马 生效 ， 无 论 是 容器 内 操作 还 是 本 地 操作 ; 
“ 对 数据 卷 的 更 新 不 会 影响 镜像 ， 解 耦 了 应 用 和 数据 ; 

“ 卷 会 一 直 存 在 ， 直 到 没有 容器 使 用 ， 可 以 安全 地 却 载 它 。 


1. 在 容器 内 创建 一 个 数据 卷 


在 用 docker run 命 令 的 时 候 ， 使 用 -v 标 记 可 以 在 容器 内 创建 一 个 数据 卷 。 多 次 重复 使 用 -v 标 记 可 以 创建 多 个 数据 卷 。 


下 面 使 用 training/webapp 镜 像 创建 一 个 web 容 器 ， 并 创建 一 个 数据 卷 挂 载 到 容器 的 /webapp 目 录 : 


$ docker run -d -P --name web -v /webapp training/webapp Python app.py 


@@ 注 章 


-了 是 将 容器 服务 暴露 的 端口 ， 是 自动 映射 到 本 地 主机 的 临时 端口 。 


2. 挂 载 一 个 主机 目录 作为 数据 卷 


使 用 -v 标 记 也 可 以 指定 挂 载 一 个 本 地 的 已 有 目录 到 容器 中 去 作为 数据 卷 (推荐 方式 ) 。 


$ docker run -d -P --name web -V /src/webapp:/opt/webapp training/webapp Python app.py 


上 面 的 命令 加 载 主机 的 /src/webapp 目 录 到 容器 的 /opt/webapp 目 录 。 


这 个 功能 在 进行 测试 的 时 候 十 分 方便 ， 比 如 用 户 可 以 将 一 些 程序 或 数据 放 到 本 地 目录 中 ， 然 后 在 容器 内 运行 和 使 用 。 另 外 ， 本 地 目录 的 路 径 必须 是 绝对 路 径 ， 如 果 目 录 不 存在 Docker， 会 自动 创建 。 


Docker 挂 载 数据 卷 的 默认 权限 是 读 写 (rw) ， 也 可 以 通过 ro 指定 为 只 读 : 


$ docker run -d -P --name web -v /src/webapp:/opt/webapp:ro 
training/webapp python app.py 


加 了 : ro 之 后 ， 容 器 内 对 所 挂 载 数据 卷 内 的 数据 就 无 法 修改 了 。 
3. 挂 载 一 个 本 地 主机 文件 作为 数据 卷 


-Vv 标记 也 可 以 从 主机 挂 载 单个 文件 到 容器 中 作为 数据 卷 (不 推荐 ) 。 


$ docker run --rm -it -v ~/.bash history:/.bash history ubuntu /bin/bash 


这 样 就 可 以 记录 在 容器 输入 过 的 命令 历史 了 。 
@@ 江 章 


如 果 直 接 挂 载 一 个 文件 到 容器 ， 使 用 文件 编辑 工具 ， 包 括 vi 或 者 sed--in-place 的 时 候 ， 可 能 会 造成 文件 inode 的 改变 ， 从 Docker 1.1.0 起 ， 这 会 导致 报错 误 信息 。 所 以 推荐 的 方式 是 直接 挂 载 文件 所 在 的 目 


6.2 ”数据 卷 容器 


如 果 用 户 需要 在 多 个 容器 之 间 共 享 一 些 持续 更 新 的 数据 ， 最 简单 的 方式 是 使 用 数据 卷 容器 。 数 据 卷 容器 也 是 一 个 容器 ， 但 是 它 的 目的 是 专门 用 来 提供 数据 卷 供 其 他 容器 挂 载 。 


首先 ,创建 一 个 数据 卷 容器 dbdata， 并 在 其 中 创建 一 个 数据 卷 挂 载 到 /dbdata: 


$ docker run -让 -v /dbdata --name dbdata Ubuntu 
root@3ed94£f279b6f:/# 


查看 /dbdata 目 录 : 


root@3ed94f279b6f:/# ls 
bin boot dbdata dev etc home lib 1lib64 media mt opt proc root run 
sbin srv sys tmp usr var 


然后 ， 可 以 在 其 他 容器 中 使 用 --volumes-from 来 挂 载 dbdata 容 器 中 的 数据 卷 ， 例 如 创建 db1 和 db2 两 个 容器 ， 并 从 dbdata 容 器 挂 载 数 据 卷 : 


$ docker run -让 --volumes-from dbdata --name dbl ubuntu 
$ docker run -it --volumes-from dbdata --name db2 ubuntu 


此 时 ， 容 器 db1 和 db2 都 挂 载 同一 个 数据 卷 到 相同 的 /dbdata 目 录 。 三 个 容器 任何 一 方 在 该 目录 下 的 写 入 ， 其 他 容器 都 可 以 看 到 。 


例如 ， 在 dbdata 容 器 中 创建 一 个 test 文 件 ， 如 下 所 示 : 


root@3ed94£279b6f:/# cd /dbdata 
root@3ed94f279b6f:/dbdata# touch test 
root@3ed94f279b6f:/dbdata# 1s 

test 


在 db1 容 器 内 查看 它 : 


$ docker run -it --volumes-from dbdata --name dbl ubuntu 

root@4128d2d804b4:/# 1s 

bin boot dbdata dev etc home lib 1lib64 media mt opt proc root run 
sbin srv sys tmp usr var 

root@4128d2d804b4:/# 1s dodata/ 

test 


可 以 多 次 使 用 --volumes-from 参 数 来 从 多 个 容器 挂 载 多 个 数据 卷 。 还 可 以 从 其 他 已 经 挂 载 了 容器 卷 的 容器 来 挂 载 数据 卷 。 
外 济 


使 用 --volumes-from 参 数 所 挂 载 数据 卷 的 容器 自身 并 不 需要 保持 在 运行 状态 。 


如 果 删 除了 挂 载 的 容器 (包括 dbdata、db1 和 db2) ， 数 据 卷 并 不 会 被 自动 删除 。 如 果 要 删除 一 个 数据 卷 ， 必 须 在 删除 最 后 一 个 还 挂 载 着 它 的 容器 时 显 式 使 用 docker rm-v 命 令 来 指定 同时 删除 关联 的 
容器 。 


使 用 数据 卷 容器 可 以 让 用 户 在 容器 之 间 自 由 地 升级 和 移动 数据 卷 。 具 体 的 操作 将 在 下 一 节 中 讲解 。 


6.3 ”利用 数据 卷 容器 来 迁移 数据 


可 以 利用 数据 卷 容器 对 其 中 的 数据 卷 进行 备份 、 恢 复 ， 以 实现 数据 的 迁移 。 下 面 介 绍 这 两 个 操作 。 


1. 备 份 


使 用 下 面 的 命令 来 备份 dbdata 数 据 卷 容器 内 的 数据 卷 : 


$ docker run --volumes-from dbdata -V $ (pwd):/backup --name worker Ubuntu tar 
cvf /backup/backup.tar /dbdata 


这 个 命令 稍微 有 点 复杂 ， 具 体 分 析 一 下 。 首 先 利 用 ubuntu 镜像 创建 了 一 个 容器 worker。 使 用 --volumes-from dbdata 参 数 来 让 worker 容 器 挂 载 dbdata 容 器 的 数据 卷 ( 即 dbdata 数 据 卷 ) ; 使 用 - 
Vv$(pwd):/backup 参 数 来 挂 载 本 地 的 当前 目录 到 worker 容 器 的 /backup 目 录 。 


worker 容 器 启动 后 ， 使 用 了 tar cvf/backup/backup.tar/dbdata 命 令 来 将 /dbdata 下 内 容 备 份 为 容器 内 的 /backup/backup.tar， 即 宿主 主机 当前 目录 下 的 backup.tar。 


2 恢复 


如 果 要 将 数据 恢复 到 一 个 容器 ， 可 以 按照 下 面 的 步骤 操作 。 首 先 创建 一 个 带 有 数据 卷 的 容器 dbdata2 : 


$ docker run -v /dbdata --name dbdata2 ubuntu /bin/bash 


然后 创建 另 一 个 新 的 容器 ， 挂 载 dbdata2 的 容器 ， 并 使 用 untar 解 压 备份 文件 到 所 挂 载 的 容器 卷 中 : 


$ docker run --volumes-from dbdata2 -v $ (pwd):/backup busybox tar xvf 
/backup/backup.tar 


6.4 ”本 章 小 结 


数据 是 最 宝贵 的 资源 。Docker 在 设计 上 考虑 到 了 这 点 ， 为 数据 管理 提供 了 充分 的 操作 支持 。 


本 章 介绍 了 通过 数据 卷 和 数据 卷 容器 对 容器 内 数据 进行 共享 、 备 份 和 恢复 等 操作 ， 通 过 这 些 机 制 ， 即 使 容器 在 运行 中 出 现 故障 ， 也 不 必 担 心 数据 发 生 丢失 ， 只 需要 快速 地 重新 创建 容器 即 可 。 


在 生产 环境 中 ， 笔 者 推荐 在 使 用 数据 卷 或 数据 卷 容器 之 外 ， 定 期 将 主机 的 本 地 数据 进行 备份 ， 或 者 使 用 支持 容错 的 存储 系统 ， 包 括 RAID 或 分 布 式 文件 系统 如 Ceph、GPFS、HDFSs 等 。 


第 7 章 ”端口 映射 与 容器 互联 


通过 前 面 几 章 的 学 习 ， 相 信 读 者 已 经 掌握 了 单个 容器 的 管理 操作 。 在 实践 中 ， 经 常会 碰 到 需要 多 个 服务 组 件 容器 共同 协作 的 情况 ， 这 往往 需要 多 个 容器 之 间 有 能 够 互相 访问 到 对 方 的 服务 。 


除了 通过 网 络 访问 外 ，Docker 还 提供 了 两 个 很 方便 的 功能 来 满足 服务 访问 的 基本 需求 : 一 个 是 允许 映射 容器 内 应 用 的 服务 端口 到 本 地 宿主 主机 ; 另 一 个 是 互联 机 制 实现 多 个 容器 间 通 过 容器 名 来 快速 访 
问 。 本 章 将 分 别 讲解 这 两 个 很 实用 的 功能 。 


7.1 ”端口 映射 实现 访问 容器 


1. 从 外 部 访问 容器 应 


三 


在 启动 容器 的 时 候 ， 如 果 不 指定 对 应 的 参数 ， 在 容器 外 部 是 无 法 通过 网 络 来 访问 容器 内 的 网 络 应 用 和 服务 的 。 


当 容 器 中 运行 一 些 网 络 应 用 ， 要 让 外 部 访问 这 些 应 用 时 ， 可 以 通过 -P 或 -p 参 数 来 指定 端口 映射 。 当 使 用 -P (大 写 的 ) 标记 时 ，Docker 会 随机 映射 一 个 49000~49900 的 端口 到 内 部 容器 开放 的 网 络 端 


$ docker run -d -P training/webapp python app.py 

$ docker ps -1 

CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

bc533791f3f5 training/webapp:latest Python app.py 5 seconds ago Up 2 seconds 
0.0.0.0:49155->5000/tcp nostalgic morse 


此 时 ， 可 以 使 用 docker ps 看 到 ， 本 地 主机 的 49155 被 映射 到 了 容器 的 5000 端 口 。 访 问 宿主 主机 的 49155 端 口 即 可 访问 容器 内 Web 应 用 提供 的 界面 。 


同样 ， 可 以 通过 docker logs 命 令 来 查看 应 用 的 信息 : 


$ docker logs -f nostalgic morse 

* Running on http://0.0.0.0:5000/ 

10.0.2.2 - - [23/May/2014 20:16:31] "GET / HTTP/1.1" 200 - 

10.0.2.2 - - [23/May/2014 20:16:31] "GET /favicon.ico HTTP/1.1" 404 - 


-p (小 写 的 ) 可 以 指定 要 映射 的 端口 ， 并 且 ， 在 一 个 指定 端口 上 只 可 以 绑 定 一 个 容器 。 支 持 的 格式 有 IP: HostPort: ContainerPortllP: : ContainerPort|HostPort: ContainerPort。 


2. 映 射 所 有 接口 地 址 


使 用 HostPort: ContainerPort 格 式 将 本 地 的 5000 端 口 映射 到 容器 的 5000 端 口 ， 可 以 执行 : 


$ docker run -d -p 5000:5000 training/webapp Python app.py 


此 时 默认 会 绑 定 本 地 所 有 接口 上 的 所 有 地 址 。 多 次 使 用 -p 标 记 可 以 绑 定 多 个 端口 。 例 如 : 


$ docker run -d -p 5000:5000 -P 3000:80 training/webapp Python app.py 


3. 映 射 到 指定 地 址 的 指定 端 


可 以 使 用 IP: HostPort: ContainerPort 格 式 指定 映射 使 用 一 个 特定 地 址 ， 比 如 localhost 地 址 127.0.0.1: 


$ docker run -d -p 127.0.0.1:5000:5000 training/webapp Python app.py 


4. 映 射 到 指定 地 址 的 任意 端 


使 用 IP: : ContainerPort 绑 定 localhost 的 任意 端口 到 容器 的 5000 端 口 ， 本 地 主机 会 自动 分 配 一 个 端口 : 


$ docker run -d -p 127.0.0.1::5000 training/webapp Python app.py 


还 可 以 使 用 udp 标 记 来 指定 udp 端 口 : 


$ docker run -d -p 127.0.0.1:5000:5000/udp training/webapp Python app.py 


5. 查 看 映射 端口 配置 


使 用 docker port 命 令 来 查看 当前 映射 的 端口 配置 ， 也 可 以 查看 到 绑 定 的 地 址 : 


$ docker port nostalgic morse 5000 
127.0.0.1349155。 


总 


容器 有 自己 的 内 部 网 络 和 IP 地 址 ， 使 用 dockerinspect+ 容 器 ID 可 以 获取 容器 的 具体 信息 。 


7.2 ”互联 机 制 实现 便捷 互 访 


容器 的 互联 (linking) 是 一 种 让 多 个 容器 中 应 用 进行 快速 交互 的 方式 。 它 会 在 源 和 接收 容器 之 间 创 建 连接 关系 ， 接 收容 器 可 以 通过 容器 名 快速 访问 到 源 容器 ， 而 不 用 指定 具体 的 IP 地 址 。 


1. 自 定义 容器 命名 


连接 系统 依据 容器 的 名 称 来 执行 。 因 此 ， 首 先 需要 定义 一 个 好 记 的 容器 名 字 。 


虽然 当 创建 容器 的 时 候 ， 系 统 默认 会 分 配 一 个 名 字 ， 但 自 定义 容器 名 字 有 两 个 好 处 : 


“ 自 定义 的 命名 比较 好 记 ， 比 如 一 个 Web 应 用 容器 ， 我 们 可 以 给 它 起 名 叫 web， 一 目 了 然 ; 


“ 当 要 连接 其 他 容器 时 ， 即 便 重启 ， 也 可 以 使 用 容器 名 而 不 用 改变 ， 比 如 连接 web 容 器 到 db 容器 。 


使 用 --name 标 记 可 以 为 容器 自 定义 命 


$ docker run -d -P --name web training/webapp Python app.py 


使 用 docker ps 来 验证 设 定 的 命名 : 


$ docker ps -1 
CONTAINER ID IMAGE COMMAND CREATED 
PORTS NAMES 


STATUS 


aed84ee21bde training/webapp:latest Python app.py 12 hours ago Up 2 seconds 


0.0.0.0:49154->5000/tcp web 


也 可 以 使 用 docker inspect 来 查看 容器 的 名 字 : 


$ docker inspect -f "{{ .Name }}" aed84ee2lbde 
/web 


四 济 


容器 的 名 称 是 唯一 的 。 如 果 已 经 命名 了 一 个 叫 web 的 容器 ， 当 你 要 再 次 使 用 web 这 个 名 称 的 时 候 ， 需 要 先 用 docker rm 来 删除 之 前 创建 的 同名 容器 。 


在 执行 docker run 的 时 候 如 果 添加 --rm 标 记 ， 则 容器 在 终止 后 会 立刻 删除 。 注 意 ，--rm 和 -d 参 数 不 能 同时 使 用 。 


2. 容 器 互联 


使 用 --link 参 数 可 以 让 容器 之 间 安 全 地 进行 交互 。 
下 


面 先 创建 一 个 新 的 数据 库容 器 : 


$ docker run -d --name db training/postgres 


删除 之 前 创建 的 web 容 器 : 


$ docker rm -f web 


然后 创建 一 个 新 的 web 容 器 ， 并 将 它 连 接 到 db 容器 : 


$ docker run -d -P --name web --link db:db training/webapp Python app.py 


此 时 ，db 容 器 和 web 容 器 建立 互联 关系 : 


--link 参 数 的 格式 为 --link name: alias， 其 中 name 是 要 连接 的 容器 名 称 ，alias 是 这 个 连接 的 别名 。 


使 用 docker ps 来 查看 容器 的 连接 ， 如 下 所 示 : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS 


ago Up About a minute 5432/tcp db, web/db 


PORTS NAMES 
349169744e49 training/postgres:latest su postgres -c '/usr About a minute 


aed84ee21lbde training/webapp:latest Python app.py 16 hours ago Up 2 


minutes 0.0.0.0:49154->5000/tcp web 


可 以 看 到 自 定义 命名 的 容器 ，db 和 web，db 容 器 的 names 列 有 db 也 有 web/db。 这 表示 web 容 器 连接 到 


Docker 相 当 于 在 两 个 互联 的 容器 之 间 创 建 了 一 个 虚 机 通道 ， 而 且 不 


Docker 通 过 两 种 方式 为 容器 公开 连接 信息 : 
“ 更 新 环境 变量 ; 


* 更 新 /etc/hosts 文 件 。 


使 用 env 命 令 来 查看 web 容 器 的 环境 变量 : 


映射 它们 的 端 


$ docker run --rm --name web2 --link db:db training/webapp env 


DB_NAME=/web2/db 
DB_PORT=tcp://172.17.0.5:5432 

DB_PORT 5000 TCP=tcp://172.17.0.5:5432 
DB_PORT 5000_TCP_ PROTO=tcp 

DB_PORT 5000_TCP PORT=5432 
DB_PORT 5000_TCP ADDR=172.17.0.5 


到 宿主 主机 上 。 在 


启动 db 容器 的 时 候 并 没有 使 有 


db 容器 ， 这 人 允许 web 容 器 访问 db 容器 的 信息 。 


-p 和 -P 标 记 ， 从 而 避免 了 暴露 数 拉 


居 库 服务 端口 到 外 部 网 络 上 。 


其 中 DB_ 开 头 的 环境 变量 是 供 web 容 器 连接 db 容器 使 用 的 ， 前 缀 采 / 


大 写 的 连接 别名 。 


除了 环境 变量 之 外 ，Docker 还 添加 host 信 息 到 父 容器 的 /etc/hosts 文 件 。 下 面 是 父 容器 web 的 hosts 文 件 : 


$ docker run -t -i --rm --link db:db training/webapp /bin/bash 


root@aed84ee21bde:/opt/webapp# cat /etc/hosts 
172.17.0.7 aed84ee21lbde 


172.17.0.5 db 


这 里 有 两 个 hosts 信 息 ， 第 一 个 是 web 容 器 ，web 容 器 用 自己 的 id 作 为 默认 主机 名 ， 第 二 个 是 db 容器 的 IP 和 主机 名 。 可 以 在 web 容 器 中 安装 ping 命 令 来 测试 与 db 容器 的 连通 : 


root@aed84ee21bde: /opt/webapp# apt-get install -yqq inetutils-ping 


root@aed84ee21bde: /opt/webapp# Ping db 

PING db (172.17.0.5): 48 data bytes 

56 bytes from 172.17.0.5: icmp_ seq=0 ttl=64 time=0.267 ms 
56 bytes from 172.17.0.5: icmp seq=1 ttl=64 time=0.250 ms 
56 bytes from 172.17.0.5: icmp seq=2 ttl=64 time=0.256 ms 


ping 来 测试 db 容器 ， 它 会 解析 成 172.17.0.5。 用 户 可 以 连接 多 个 子 容器 到 父 容器 ， 比 如 可 以 连接 多 个 web 到 同一 个 db 容器 上 。 


7.3 本章 小 结 


毫 无 疑问 ， 容 器 服务 的 访问 是 很 关键 的 一 个 用 途 。 本 章 通 过 具体 案例 讲解 了 Docker 容 器 服务 访问 的 两 大 基本 操作 ， 包 括 基础 的 容器 端口 映射 机 制 和 容器 互联 机 制 。 同 时 ，Docker 目 前 可 以 成 熟地 支持 
Linux 系 统 自 带 的 网 络 服务 和 功能 ， 这 既 可 以 利用 现 有 成 熟 的 技术 提供 稳定 支持 ， 又 可 以 实现 快速 的 高 性 能 转发 。 


在 生产 环境 中 ， 网 络 方面 的 需求 更 加 复杂 多 变 ， 包 括 跨 主机 甚至 跨 数据 中 心 的 通信 ， 这 时 候 往往 就 需要 引入 额外 的 机 制 ， 例 如 SDN (软件 定义 网 络 ) 或 NFV (网 络 功 能 虚拟 化 ) 的 相关 技术 。 


本 书 的 第 三 部 分 将 进一步 探讨 如 何 通过 libnetwork 来 实现 跨 主 机 的 容器 通信 ， 以 及 Docker 网 络 的 高 级 功能 和 配置 。 


第 8 章 ”使 用 Dockerfile 创 建 镜像 


Dockerfile 是 一 个 文本 格式 的 配置 文件 ， 用 户 可 以 使 用 Dockerfile 来 快速 创建 自 定义 的 镜像 。 


本 章 首先 介绍 Dockerfile 典 型 的 基本 结构 和 它 支 持 的 众多 指令 ， 并 具体 讲解 通过 这 些 指令 来 编写 定制 镜像 的 Dockerfile， 以 及 如 何 生成 镜像 。 最 后 介绍 使 用 Dockerfile 的 一 些 最 佳 实践 经 验 。 


8.1 基本 结构 


Dockerfile 由 一 行 行 命令 语句 组 成 ， 并 且 支 持 以 # 开 头 的 注释 行 。 


一 般 而 言 ，Dockerfile 分 为 四 部 分 : 基础 镜像 信息 、 维 护 者 信息 、 镜 像 操 作 指令 和 容器 启动 时 执行 指令 。 例 如 : 


# This Dockerfile uses the ubuntu image 
# VERSION 2 - EDITION 1 
# Author: docker user 
# Command format: Instruction [arguments / command] http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/.. 
# Base image to use, this must be set as the first line 
FROM ubuntu 
# Maintainer: docker user <docker user at email.com> (@docker user) 
MAINTAINER docker user docker userQ@email.com 和 
# Commands to update the image 
RUN echo "deb http://archive.ubuntu.com/ubuntu/ raring main universe" >> /etc/apt/ 
sources.1list 
RUN apt-get update && apt-get install -~y nginx 
RUN echo "\ndaemon off;" >> /etc/nginx/nginx.conf 
# Commands when creating a new container 
CMD /usr/sbin/nginx 


其 中 ， 一 开始 必须 指明 所 基于 的 镜像 名 称 ， 接 下 来 一 般 是 说 明 维 护 者 信息 。 后 面 则 是 镜像 操作 指令 ， 例 如 RUN 指 令 ，RUN 指 令 将 对 镜像 执行 跟随 的 命令 。 每 运行 一 条 RUN 指 令 ， 镜 像 就 添加 新 的 一 层 ， 
并 提交 。 最 后 是 CMD 指 令 ， 用 来 指定 运行 容器 时 的 操作 命令 。 


下 面 是 Docker Hub 上 两 个 热门 镜像 的 Dockerfile 的 例子 ， 可 以 帮助 读者 对 Dockerfile 结 构 有 个 基本 的 认识 。 


第 一 个 例子 是 在 debian: jessie 基 础 镜像 基础 上 安装 Nginx 环 境 ， 从 而 创建 一 个 新 的 nginx 镜 像 : 


FROM debian:jessie 
MAINTAINER NGINX Docker Maintainers "docker-maint@nginx.com" 
ENV NGINX VERSION 1.10.1-1~jessie 
RUN apt-key adv --keyserver hkp://pgp.mit.edu:80 --recv-keys 573BFD6B3D8FBC64107 
9A6ABABF5BD827BD9BF62 \ 
&& echo "deb http://nginx.org/packages/debian/ jessie nginx" >> /etc/ 
apt/sources.list \ 
&& apt-get update \ 
&& apt-get install --no-install-recommends --no-install-suggests -y \ 
ca-certificates \ 
nginx=$ {NGINX VERSION} \ 
nginx-module-xslt \ 
nginx-module-geoip \ 
nginx-module-image-filter \ 
nginx-module-perl \ 
nginx-module-njs \ 
gettext-base \ 
&& rm -rf /var/lib/apt/lists/* 
# forward request and error logs to docker log collector 
RUN ln -sf /dev/stdout /var/log/nginx/access.1log \ 
&& ln -sf /dev/stderr /var/log/nginx/error.log 
EXPOSE 80 443 


CMD ["nginx", "-g", "daemon off;"] 


第 二 个 例子 是 基于 buildpack-deps: jessie-scm 基 础 镜像 ， 安 装 Golang 相 关 环 境 ， 制 作 一 个 GO 语言 的 运行 环境 镜像 : 


FROM buildpack-deps:jessie-scm 
# gcc for cgo 
RUN apt-get update && apt-get install -y --no-install-recommends \ 
g++ \ 
gcc \ 
libc6-dev \ 
make \ 
&& rm -rf /var/lib/apt/lists/* 
ENV GOLANG VERSION 1.6.3 
ENV GOLANG DOWNLOAD URL https://golang.org/d1/go$GOLANG VERSION.1linux-amd64.tar.gz 
ENV GOLANG DOWNLOAD SHA256 cddeS5e08530c0579255d6153b08fdb3b8e47caabbe717bc7bcd 
7561275a87aeb 
RUN curl -fsSL "S$GOLANG DOWNLOAD URL" -0 golang.tar.gz \ 
&& echo "$GOLANG DOWNLOAD SHA256 golang.tar.gz" | sha256sum -c - \ 
&& tar -C /usr/local -xzf golang.tar.gz \ 
&& rm golang.tar.gz 
ENV GOPATH /go 


ENV PATH $GOPATH/bin:/usr/local/go/bin:$PATH 

RUN mkdir -P "$GOPATH/src" "$GOPATH/bin" && chmod -R 777 "$GOPATH" 
WORKDIR $GOPATH 

COPY go-wrapper /usr/local/bin/ 


下 面 将 讲解 Dockerfile 中 各 种 指令 的 应 用 。 


8.2 ”指令 说 明 


指令 的 一 般 格式 为 INSTRUCTION arguments， 指 令 包括 FROM、MAINTAINER、RUN 等 ， 参 见 表 8-1。 


表 8-1 Dockerfile 指 令 说 明 


指令 
FROM 指定 所 创建 镜像 的 基础 镜像 
MAINTAINER 定 维 护 者 信息 
RUN 运行 命令 
CMD 指定 启动 容器 时 默认 执行 的 命令 
LABEL 指定 生成 镜像 的 元 数据 标签 信息 
EXPOSE 声明 镜像 内 服务 所 监听 的 端口 
ENV 指定 环境 变量 
人 复制 指定 的 <src> 路 径 下 的 内 容 到 容器 中 的 <dest> 路 径 下 ，<src> 可 以 为 URL ; 如 果 为 
tar 文件 ， 会 自动 解压 到 <dest> 路 径 下 
复制 本 地 主机 的 <src> 路 径 下 的 内 容 到 镜像 中 的 <dest> 路 径 下 ; 一 般 情况 下 推荐 使 用 
COPY， 而 不 是 ADD 
ENTRYPOINT 指定 镜像 的 默认 入 口 
VOLUME 创建 数据 卷 挂 载 点 
USER 指定 运行 容 需 时 的 用 户 名 或 UID 
( 续 ) 
指 令 9 
WORKDIR 配置 工作 目录 
ARG 指定 镜像 内 使 用 的 参数 (例如 版 本 号 信息 等 
ONBUILD 配置 当 所 创建 的 镜像 作为 其 他 名 ET 所 执行 的 创建 操作 指令 
STOPSIGNAL 容器 退出 的 信号 值 
HEALTHCHECK 如 何 进 行 健康 检查 
SHELL 指定 使 用 shell 时 的 默认 shell 类 型 
下 面 分 别 进行 介绍 。 
1.FROM 


指定 所 创建 镜像 的 基础 镜像 ， 如 果 本 地 不 存在 ， 则 默认 会 去 Docker Hub 下 载 指定 镜像 。 
格式 为 FROM <image>， 或 FROM <image>: <tag>， 或 FROM <image>@<digest>。 
任何 Dockerfile 中 的 第 一 条 指令 必须 为 FROM 指令 。 并 且 ， 如 果 在 同一 个 Dockerfile 中 创建 多 个 镜像 ， 可 以 使 用 多 个 FROM 指令 (每 个 镜像 一 次 ) 。 
2.MAINTAINER 


指定 维护 者 信息 ， 格 式 为 MAINTAINER<name> 。 例 如 : 


MAINTAINER image creator@docker.com 


该 信息 会 写 入 生成 镜像 的 Author 属 性 域 中 。 


3.RUN 


格式 为 RUN<command> 或 RUN["executable","param1",，"param2"]。 注 意 ， 后 一 个 指令 会 被 解析 为 Json 数 组 ， 因 此 必须 


双 引 号 。 


前 者 默认 将 在 shell 终 端 中 运行 命令 ， 即 /bin/sh-c; 后 者 则 使 用 exec 执 行 ， 不 会 启动 shell 环 境 。 


指定 使 用 其 他 终端 类 型 可 以 通过 第 二 种 方式 实现 ， 例 如 RUN["/bin/bash"，"-c"，"echo hello"]。 


每 条 RUN 指 令 将 在 当前 镜像 的 基础 上 执行 指定 命令 ， 并 提交 为 新 的 镜像 。 当 命令 较 长 时 可 以 使 用 \ 来 换行 。 例 如 : 


RUN apt-get update \ 
&& apt-get install -y libsnappy-dev zliblg-dev libbz2-dev \ 
&& rm -rf /var/cache/apt 


4.CMD 

CMD 指 令 用 来 指定 启动 容器 时 默认 执行 的 命令 。 它 支持 三 种 格式 : 
“ CMD["executable"，"param1"，"param2"] 使 用 exec 执 行 ， 是 推荐 使 用 的 方式 ; 
* CMD command param1 param2 在 /bin/sh 中 执行 ， 提 供给 需要 交互 的 应 用 ; 
CMD["param1"，"param2"] 提 供给 ENTRYPOINT 的 上 默认 参数 。 


每 个 Dockerfile 只 能 有 一 条 CMD 命 令 。 如 果 指定 了 多 条 命令 ， 只 有 最 后 一 条 会 被 执行 。 


如 果 用 户 启动 容器 时 手动 指定 了 运行 的 命令 (作为 run 的 参数 ) ， 则 会 覆盖 掉 CMD 指 定 的 命令 。 


5.LABEL 


LABEL 指 令 用 来 指定 生成 镜像 的 元 数据 标签 信息 。 
格式 为 LABEL<key>=<value> <key>=<value><key>=<value>http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...。 


例如 : 


LABEL version="1.0" 
LABEL description="This text illustrates \ that label-values can span multiple lines." 


6.EXPOSE 


声明 镜像 内 服务 所 监听 的 端口 。 


格式 为 EXPOSE<port>[<port>http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/...]。 


例如 : 


EXPOSE 22 80 8443 


注意 ， 该 指令 只 是 起 到 声明 作用 ， 并 不 会 自动 完成 端口 映射 。 


在 启动 容器 时 需要 使 用 -P，Docker 主 机 会 自动 分 配 一 个 宿主 机 的 临时 端口 转发 到 指定 的 端口 ; 使 用 -p， 则 可 以 具体 指定 哪个 宿主 机 的 本 地 端口 会 映射 过 来 。 


7.ENV 


指定 环境 变量 ， 在 镜像 生成 过 程 中 会 被 后 续 RUN 指 令 使 用 ， 在 镜像 启动 的 容器 中 也 会 存在 。 


格式 为 ENV<key> <value> 或 ENV<key>=<value>http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...。 
例如 : 


ENV PG MAJOR 9.3 

ENV PG VERSION 9.3.4 

RUN curl -SL http://example.com/postgres-$PG VERSION.tar.xz | tar -xJC /usr/src/ 
ostgress && … 

ENV PATH /usr/local/postgres-$PG MAJOR/bin:$PATH 


指令 指定 的 环境 变量 在 运行 时 可 以 被 覆盖 掉 ， 如 docker run--env<key>=<value>built image。 
8.ADD 
该 命令 将 复制 指定 的 <src> 路 径 下 的 内 容 到 容器 中 的 <dest> 路 径 下 。 


格式 为 ADD<src> <dest> 。 


其 中 <src> 可 以 是 Dockerfile 所 在 目录 的 一 个 相对 路 径 (文件 或 目录 ) ， 也 可 以 是 一 个 URL， 还 可 以 是 一 个 tar 文 件 (如 果 为 tar 文 件 ， 会 自动 解压 到 <dest> 路 径 下 ) 。<dest> 可 以 是 镜像 内 的 绝对 路 
径 ， 或 者 相对 于 工作 目录 (WORKDIR) 的 相对 路 径 。 


路 径 支 持 正则 格式 ， 例 如 : 


ADD *.c /code/ 


9.COPY 


格式 为 COPY<src><dest>。 


复制 本 地 主机 的 <src> (为 Dockerfile 所 在 目录 的 相对 路 径 、 文 件 或 目录 ) 下 的 内 容 到 镜像 中 的 <dest> 下 。 目 标 路 径 不 存在 时 ， 会 自动 创建 。 


路 径 同 样 支持 正则 格式 。 


当 使 用 本 地 目录 为 源 目录 时 ， 推 荐 使 用 COPY。 


10.ENTRYPOINT 


指定 镜像 的 默认 入 | 命令 会 在 启动 容器 时 作为 根 命令 执行 ， 所 有 传 入 值 作为 该 命令 的 参数 。 


如 
少 
民 
之 


支持 两 种 格式 : 


ENTRYPOINT ["executable"，"paraml"，"Param2"] (exec 调 用 执行 ) ; 
ENTRYPOINT command Paraml Param2 (shell 中 执行 ) 。 


此 时 ，CMD 指 令 指定 值 将 作为 根 命令 的 参数 。 
每 个 Dockerfile 中 只 能 有 一 个 ENTRYPOINT， 当 指定 多 个 时 ， 只 有 最 后 一 个 有 效 。 
在 运行 时 ， 可 以 被 --entrypoint 参 数 覆 盖 掉 ， 如 docker run--entrypoint。 


11.VOLUME 


格式 为 VOLUME["/data"]。 


可 以 从 本 地 主机 或 其 他 容器 挂 载 数据 卷 ， 一 般 用 来 存放 数据 库 和 需要 保存 的 数据 等 。 


指定 运行 容器 时 的 用 户 名 或 UID， 后 续 的 RUN 等 指令 也 会 使 用 指定 的 用 户 身份 。 


格式 为 USER daemon。 


当 服 务 不 需要 管理 员 权 限时 ， 可 以 通过 该 命令 指定 运行 用 户 ， 并 且 可 以 在 之 前 创建 所 需要 的 用 户 。 例 如 : 


RUN groupadd -r postgres && Useradd -r -g postgres postgres 


要 临时 获取 管理 员 权 限 可 以 使 用 gosu 或 sudo。 


13.WORKDIR 


为 后 续 的 RUN、CMD 和 ENTRYPOINT 指 令 配置 工作 目录 。 


格式 为 WORKDIR/path/to/workdir。 


可 以 使 用 多 个 WORKDIR 指 令 ， 后 续 命 令 如 果 参 数 是 相对 路 径 ， 则 会 基于 之 前 命令 指定 的 路 径 。 例 如 : 


WORKDIR /a 
WORKDIR b 
WORKDIR c 
RUN pwd 


则 最 终 路 径 为 /a/b/c。 


14.ARG 


指定 一 些 镜像 内 使 用 的 参数 (例如 版 本 号 信息 等 ) ， 这 些 参数 在 执行 docker build 命 令 时 才 以 --build-arg<varname>=<value> 格 式 传 入 。 


格式 为 ARG<name>[=<default value>]。 


则 可 以 用 docker build--build-arg<name>=<value> .来 指定 参数 值 。 


15.ONBUILD 


配置 当 所 创建 的 镜像 作为 其 他 镜像 的 基础 镜像 时 ， 所 执行 的 创建 操作 指令 。 


格式 为 ONBUILD[INSTRUCTION]。 


例如 ，Dockerfile 使 用 如 下 的 内 容 创 建 了 镜像 image-A: 


[http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPSVText/...] 
ONBUILD ADD . /app/src 

ONBUILD RUN /usr/local/bin/python-build --dir /app/src 
[http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/...] 


如 果 基 于 image-A 创 建新 的 镜像 时 ， 新 的 Dockerfile 中 使 用 FROM image-A 指 定 基础 镜像 ， 会 自动 执行 ONBUILD 指 令 的 内 容 ， 等 价 于 在 后 面 添加 了 两 条 指令 : 


FROM image-A 

#Automatically run the following 

ADD . /app/src 

RUN /usr/local/bin/python-build --dir /app/src 


使 用 ONBUILD 指 令 的 镜像 ， 推 荐 在 标签 中 注 明 ， 例 如 ruby: 1.9-onbuild。 


16.STOPSIGNAL 


指定 所 创建 镜像 启动 的 容器 接收 退出 的 信号 值 。 例 如 : 


STOPSIGNAL signal 


17.HEALTHCHECK 


配置 所 启动 容器 如 何 进行 健康 检查 (如 何 判断 健康 与 否 ) ， 自 Docker 1.12 开 始 支 持 。 


格式 有 两 种 : 


HEALTHCHECK [OPTIONS] CMD command: 根据 所 执行 命令 返回 值 是 否 为 0 来 判断 ; 


: HEALTHCHECKIOPTIONS]CMD command: 根据 所 执行 命令 返回 值 是 否 为 0 来 判断 ; 
“ HEALTHCHECK NONE: 禁止 基础 镜像 中 的 健康 检查 。 
OPTION 支 持 : 
“ -interval=DURATION (默认 为 : 30s) : 过 多 久 检 查 一 次 ; 
: -timeout=DURATION (默认 为 : 30s) : 每 次 检查 等 待 结果 的 超时 ; 
“ --tetties=N (默认 为 : 3) : 如 果 失 败 了 ， 重 试 几 次 才 最 终 确 定 失败 。 


18.SHELL 


指定 其 他 命令 使 用 shell 时 的 默认 shell 类 型 。 


默认 值 为 [Vbin/sh*，，c"]。 
@ 注 总 


对 于 Windows 系 统 ， 建 议 在 Dockerfile 开 头 添加 #escape=` 来 指定 转 义 信息 。 


8.3 ”创建 镜像 


编写 完成 Dockerfile 之 后 ， 可 以 通过 docker build 命 令 来 创建 镜像 。 


基本 的 格式 为 docker build[ 选 项 ] 内 容 路 径 ， 该 命令 将 读 取 指 定 路 径 下 (包括 子 目 录 ) 的 Dockerfile， 并 将 该 路 径 下 的 所 有 内 容 发 送 给 Docker 服 务 端 ， 由 服务 端 来 创建 镜像 。 因 此 除非 生成 镜像 需要 ， 
否则 一 般 建 议 放置 Dockerfile 的 目录 为 空 目录 。 有 两 点 经 验 : 


. 如 果 使 用 非 内 容 路 径 下 的 Dockerfile， 可 以 通过 -f 选 项 来 指定 其 路 径 。 


“ 要 指定 生成 镜像 的 标签 信息 ， 可 以 使 用 -t 选 项 。 


例如 ， 指 定 Dockerfile 所 在 路 径 为 /tmpy/docker_builde， 并 且 希 望 生成 镜像 标签 为 build_repoy/first image， 可 以 使 用 下 面 的 命令 : 


$ docker build -t build repo/first image /tmp/docker builder/ 


8.4 使 用 .dockerignore 文 件 


可 以 通过 .dockerignore 文 件 (每 一 行 添加 一 条 匹配 模式 ) 来 让 Docker 忽 略 匹配 模式 路 径 下 的 目录 和 文件 。 例 如 : 


# comment 
*/temp* 
*/*/temp* 
tmp? 


i 


8.5 ”最 佳 实践 


所 谓 最 佳 实践 ， 实 际 上 是 从 需求 出 发 ， 来 定制 适合 自己 、 高 效 方便 的 镜像 。 


首先 ， 要 尽量 吃透 每 个 指令 的 含义 和 执行 效果 ， 自 己 多 编写 一 些 简单 的 例子 进行 测试 ， 弄 清楚 了 再 撰写 正式 的 Dockerfile。 此 外 ，Docker Hub 官 方 仓库 中 提供 了 大 量 的 优秀 镜像 和 对 应 的 Dockefile， 
可 以 通过 阅读 它们 来 学 习 如 何 撰写 高 效 的 Dockerfile。 


笔者 在 应 用 过 程 中 也 总 结 了 一 些 实践 经 验 。 建 议 读者 在 生成 镜像 过 程 中 ， 尝 试 从 如 下 角度 进行 思考 ， 完 善 所 生成 的 镜像 。 


. 精简 镜像 用 途 : 尽量 让 每 个 镜像 的 用 途 都 比较 集中 、 单 一 ， 避 免 构 造 大 而 复杂 、 多 功能 的 镜像 ; 

选用 合适 的 基础 镜像 : 过 大 的 基础 镜像 会 造成 生成 脐 肿 的 镜像 ， 一 般 推 荐 较为 小 巧 的 debian 镜 像 ; 

: 提供 足够 清晰 的 命令 注释 和 维护 者 信息 : Dockerfile 也 是 一 种 代码 ， 需 要 考虑 方便 后 续 扩 展 和 他 人 使 用 ; 

: 正确 使 用 版 本 号 : 使 用 明确 的 版 本 号 信息 ， 如 1.0，2.0， 而 非 latest， 将 避免 内 容 不 一 致 可 能 引发 的 惨案 ; 

“ 减少 镜像 层 数 : 如 果 希 望 所 生成 镜像 的 层 数 尽 量 少 ， 则 要 尽量 合并 指令 ， 例 如 多 个 RUN 指 令 可 以 合并 为 一 条 ; 
: 及 时 删除 临时 文件 和 缓存 文件 : 特别 是 在 执行 apt-get 指 令 后 ，/var/cache/apt 下 面 会 缓存 一 些 安装 包 ; 


提高 生成 速度 : 如 合理 使 用 缓存 ， 减 少 内 容 目 录 下 的 文件 ， 或 使 用 .dockerignore 文 件 指定 等 ; 


* 调整 合理 的 指令 顺 


序 : 在 开启 缓存 的 情况 下 ， 内 容 不 变 的 指令 尽量 放 在 前 面 ， 这 样 可 以 尽量 复 用 ; 


: 减少 外 部 源 的 干扰 : 如 果 确 实 要 从 外 部 引入 数据 ， 需 要 指定 持久 的 地 址 ， 并 带 有 版 本 信息 ， 让 他 人 可 以 重复 而 不 出 错 。 


8.6 本章 小 结 


本 章 主要 介绍 了 围绕 
中 ,读者 会 体会 到 Docke 


Dockerfile 文 件 构建 镜像 的 过 程 ， 包 括 Dockerfile 的 基本 结构 、 所 支持 的 内 部 指令 ， 使 用 它 创建 镜像 的 基本 过 程 ， 以 及 合理 构建 镜像 的 最 佳 实践 。 在 使 有 


r“ 一 点 修改 代替 大 量 更 新 ”的 灵活 之 处 。 


Dockerfile 构 建 镜像 的 过 程 


当然 ， 编 写 一 个 高 质量 的 Dockerfile 并 不 是 一 件 容易 的 事情 ， 需 要 一 定时 间 的 学 习 和 实践 。 在 本 书 的 第 二 部 分 中 ， 笔 者 也 给 出 了 大 量 热门 镜像 的 Dockerfile， 供 大 家 学 习 参 考 。 


“第 9 章 操作 系统 


第 二 部 分 “实战 案例 


' 第 10 章 “为 镜像 添加 SSH 服 务 


:第 11 章 Web 服务 与 应 用 


“第 12 章 ”数据库 应 


用 


“第 13 章 ”分布 式 处 理 与 大 数据 平台 


“ 第 14 章 编程 开发 


“ 第 15 章 ”容器 与 云 服务 


“ 第 16 章 ”容器 实战 思 


实战 ， 是 检验 技术 的 唯一 标准 。 


通过 第 一 部 分 的 学 习 ， 相 信 读 者 已 经 掌握 了 Docker 的 核心 概念 和 常用 操作 。 在 这 一 部 分 中 笔者 将 展示 大 量 的 容器 化 应 用 案例 ， 更 加 深入 地 展示 容器 技术 如 何在 生产 环境 中 进行 应 用 。 


第 9 章 将 介绍 通过 Docker 来 运行 典型 的 操作 系统 环境 ， 包 括 BusyBox、Alpine、Debian/Ubuntu、CentOS/Fedora 等 。 


第 10 章 将 介绍 如 何 为 一 个 镜像 添加 SSH 服 务 的 支持 ， 以 及 探讨 访问 容器 内 部 的 合理 方案 。 


第 11 章 将 介绍 利用 Docker 来 提供 典型 的 Web 服 务 ， 包 括 Apache、Nginx、Tomcat、Jetty、LAMP、CMS 等 流行 的 Web 工 具 ， 以 及 持续 开发 与 管理 的 工具 。 
第 12 章 将 通过 MySQL、MongoDB、Redis、Memcached、CouchDB、Cassandra 等 数据 库 的 典型 例子 ， 展 示 在 容器 中 搭建 和 配置 常见 的 SQL 和 NoSQL 数 据 库 软 件 。 


第 13 章 将 介绍 分 布 式 处 理 和 大 数据 平台 ， 包 括 消息 队列 代表 RabbitMQ、 分 布 式 任务 处 理 Celery、 大 数据 平台 Hadoop、Spatk、Storm、Elasticsearch 等 。 


第 14 章 将 介绍 流行 的 编程 语言 ， 包 括 C/C++、JjJava、PHP、Python、Petl、Ruby、Node.js/JavaScript、Go 等 语言 ， 以 及 如 何 用 Docker 来 快速 构建 相应 的 编程 开发 环境 。 


接 下 来 ， 在 第 15 章 将 介绍 支持 容器 技术 的 公有 云 服务 和 容器 云 平 台 。 


最 后 ， 在 第 16 章 会 结合 生产 实践 中 的 常见 需求 和 问题 进行 探讨 ， 分 享 容器 实战 中 的 一 些 思考 。 


通过 第 二 部 分 的 实战 案例 学 习 ， 读 者 将 可 以 更 好 地 掌握 容器 技术 ， 并 在 工作 中 更 加 高 效 地 使 用 Docker。 


第 9 章 ”操作 系统 


目前 常用 的 Linux 发 行 版 主要 包括 Debian/Ubuntu 系 列 和 CentOS/Fedora 系 列 。 前 者 以 自 带 软件 包 版 本 较 新 而 出 名 ; 后 者 则 宣称 


区 还 推出 了 完全 基于 Docl 


er 的 Linux 发 行 版 CoreOS。 


本 章 将 介绍 如 何 使 用 Docker 安 装 和 使 用 BusyBox、Alphine、Debian/Ubuntu、CentOS/Fedora 等 操作 系统 。 


9.1 BusyBox 


BusyBox 是 一 个 集成 了 一 百 多 个 最 常用 Linux 命 令 和 工具 (如 cat、echo、grep、mount、telnet 等 ) 的 精简 工 


刀 ”。BusyBox 可 运行 于 多 款 POSIX 环 境 的 操作 系统 中 ， 如 Linux (包括 Android) 、Hurd、FreeBSD 等 。 


Pe 


运行 更 


稳定 一 些 


。 选 择 哪个 操作 系统 取决 于 读者 的 具体 需求 。 同 时 ， 社 


使 用 Docker， 只 需要 一 个 命令 就 能 快速 获取 一 个 Linux 发 行 版 镜像 ， 这 是 以 往 包 括 各 种 虚拟 化 技术 都 难以 实现 的 。 这 些 镜 像 一 般 都 很 精简 ， 但 是 可 以 支持 完整 Linux 系 统 的 大 部 分 功能 。 


箱 ， 它 只 有 几 MB 的 大 小 ， 很 方便 进行 各 种 快速 验证 ， 被 誉 为 “Linux 系 统 的 瑞士 军 


在 Docker Hub 中 搜索 busybox 相 关 的 镜像 : 


$ docker search busybox 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

busybox Busybox base image. 755 [OK] 

progrium/busybox 63 [OK] 

radial/busyboxplus Full-chain, Internet enabled, busybox madehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0OEBPS/Text/... 11 
odise/busybox-python 3 [OK] 

multiarch/busybox multiarch ports of ubuntu-debootstrap 3 [OK] 

azukiapp/busybox This image is meant to be used as the basehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 2 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 


读者 可 以 看 到 最 受 欢 迎 的 镜像 。 带 有 OFFICIAL 标 记 说 明 是 官方 镜像 。 用 户 可 使 用 docker pull 指 令 下 载 镜像 busybox: latest: 


$ docker pull busybox:1latest 


下 载 后 ， 可 以 看 到 busybox 镜 像 只 有 2.433MB: 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
busybox latest e72ac664f4f0 6 weeks ago 2.433 MB 


启动 一 个 busybox 容 器 ， 并 在 容器 内 查看 挂 载 信 息 ， 如 下 所 示 : 


$ docker run -it busybox 

/ # mount 

rootfs on / type rootfs (rw) 

none on / type aufs (rw,relatime,si=b455817946f8505c) 

proc on /proc type Proc (rw,nosuid,nodev,noexec, relatime) 

tmpfs on /dev type tmpfs (rw,nosuid,mode=755) 

shm on /dev/shm type tmpfs (rw,nosuid,nodev,noexec, relatime,size=65536k) 

devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=666) 

sysfs on /sys type sysfs (ro,nosuid,nodev,noexec,relatime) 

/dev/disk/by-uuid/blf2dba7-d91b-4165-a377-bfla8bed3f61 on /etc/resolv.conf type 
ext4 (rw,relatime,errors=remount-ro,data=ordered) 

/dev/disk/by-uuid/blf2dba7-d91b-4165-a377-bfla8bed3f61 on /etc/hostname type 
ext4 (rw,relatime,errors=remount-ro,data=ordered) 

/dev/disk/by-uuid/blf2dba7-d91b-4165-a377-bfla8bed3f61 on /etc/hosts type ext4 
(rw, relatime,errors=remount-ro, data=ordered) 

devpts on /dev/console type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,pt 
mxmode=000) 

proc on /proc/sys type proc (ro,nosuid,nodev,noexec, relatime) 

proc on /proc/sysrq-trigger type proc (ro,nosuid,nodev,noexec, relatime) 

proc on /proc/irg type proc (ro,nosuid,nodev,noexec, relatime) 

proc on /proc/bus type proc (ro,nosuid,nodev,noexec, relatime) 

tmpfs on /proc/kcore type tmpfs (rw,nosuid,mode=755) 


busybox 镜 像 虽 然 小 巧 ， 但 包括 了 大 量 常见 的 Linux 命 令 ， 读 者 可 以 用 它 快速 熟悉 Linux 命 令 。 


9.2 Alpine 


Alpine 操 作 系统 是 一 个 面向 安全 的 轻型 Linux 发 行 版 。 它 不 同 于 通常 的 Linux 发 行 版 ，Alpine 采 用 了 musl libc 和 BusyBox 以 减 小 系统 的 体积 和 运行 时 资源 消耗 ， 但 功能 上 比 BusyBox 又 完善 得 多 ， 因 此 得 
到 开源 社区 越 来 越 多 的 青睐 。 在 保持 瘦身 的 同时 ，Alpine 还 提供 了 自己 的 包 管 理工 具 apk， 可 以 通过 https://pkgs.alpinelinux.org/packages 查 询 包 信息 ， 也 可 以 通过 apk 命 令 直接 查询 和 安装 各 种 软件 。 


3 NDIN 


Alpine 是 由 非 商业 组 织 维护 的 支持 广泛 场景 的 Linux 发 行 版 ， 它 特别 为 资深 /重度 Linux 用 户 而 优化 ， 关 注 安 全 、 性 能 和 资源 效能 。Alpine 镜 像 适 用 于 更 多 常用 场景 ， 并 且 是 一 个 优秀 的 可 以 适用 于 生产 的 
基础 系统 /环境 。 


Alpine Docker 镜 像 也 继承 了 Alpine Linux 发 行 版 的 这 些 优势 。 相 比 于 其 他 Docker 镜 像 ， 它 的 容量 非常 小 ， 仅 仅 只 有 5MB 左 右 (Ubuntu 系 列 镜像 接近 200MB) ， 且 拥有 非常 友好 的 包 管理 机 制 。 官 方 
镜像 来 自 docker-alpine 项 目 。 


目前 Docker 官 方 已 开始 推荐 使 用 Alpine 蔡 代 之 前 的 Ubuntu 作为 基础 镜像 环境 。 这 样 会 带 来 多 个 好 处 ， 包 括 镜像 下 载 速度 加 快 ， 镜 像 安全 性 提高 ， 主 机 之 间 的 切换 更 方便 ， 占 用 更 少 磁盘 空间 等 。 


表 9-1 是 官方 镜像 的 大 小 比较 。 


表 9-1 官方 镜像 大 小 比较 


REPOSITORY VIRTUAL SIZE 


1. 使 用 官方 镜像 


由 于 镜像 很 小 ， 下 载 时 间 往 往 很 短 ， 可 以 使 用 docker run 指 令 直 接 运行 一 个 alpine 容 器 ， 并 指定 运行 的 Linux 指 令 ， 例 如 : 


$ docker run alpine echo '123' 
123 


笔者 使 用 time 工 具 测试 在 本 地 没有 提前 pull 镜 像 的 情况 下 ， 执 行 echo 命 令 的 时 间 ， 仅 需要 3 秒 左右 。 


$ time docker run alpine echo '123'Unable to find image 'alpine:latest' locallylatest: 
Pulling from library/alpine 

ell0a4al7941: Pull completeDigest: sha256:3dcdb92d7432d56604d4545cbd324bl4e647b 
313626d99b88990626de158f73aStatus: Downloaded newer image for alpine:1latest123 

real 0m3.367s user 0m0.040s sys 0m0.007s 


2. 迁 移 至 Alpine 基 础 镜像 


目前 ， 大 部 分 Docker 官 方 镜像 都 已 经 支持 Alpine 作 为 基础 镜像 ， 因 此 可 以 很 容易 地 进行 迁移 。 


例如 : 


ubuntu/debian -> alpine 
Python:2.7 -> Python:2.7-alpine 
ruby:2.3 -> ruby:2.3-alpine 


另外 ， 如 果 使 用 Alpine 镜 像 蔡 换 Ubuntu 基础 镜像 ， 安 装 软件 包 时 需要 用 apk 包 管理 器 某 换 apt 工 具 ， 如 


$ apk add --no-cache <package> 


Alpine 中 软件 安装 包 的 名 字 可 能 会 与 其 他 发 行 版 有 所 不 同 ， 可 以 在 https://pkgs.alpinelinux.org/packages 网 站 搜索 并 确定 安装 包 的 名 称 。 如 果 需 要 的 安装 包 不 在 主 索引 内 ， 但 是 在 测试 或 社区 索引 
中 ， 那 么 可 以 按照 以 下 方法 使 用 这 些 安装 包 : 


$ echo "http;//d1-4.alpinelinux.org/alpine/edge/testing" >> /etc/apk/repositories 
$ apk --update add --no-cache <package> 


9.3 Debian/Ubuntu 


Debian 和 Ubuntu 都 是 目前 较为 流行 的 Debian 系 的 服务 器 操作 系统 ， 十 分 适合 研发 场景 。Docker Hub 上 提供 了 官方 镜像 ， 国 内 各 大 容器 云 服 务 也 基本 都 提供 了 相应 的 支持 。 


1.Debian 系 统 简介 及 使 用 


Debian 是 由 GPL 和 其 他 自由 软件 许可 协议 授权 的 
金 支持 ，Software in the Public Interest 提 供 支持 并 持 有 商标 作为 保护 机 构 。Debian 以 其 坚守 Unix 和 


个 计算 机 系统 结构 。 


由 软件 组 成 的 操作 系统 ， 由 Debian Project 组 织 维护 。Debian 计 划 是 一 个 独立 、 分 散 的 组 织 ， 由 3000 个 志愿 者 组 成 ， 接 受 世界 多 个 非 僵 利 组 织 的 资 


自由 软件 的 精神 ， 以 及 给 予 


户 的 众多 选择 而 闻名 。 现 在 Debian 包 括 了 超过 25000 个 软件 包 并 支持 12 


deblan 


作为 一 个 大 的 系统 组 织 框架 ，Debian 下 
FreeBSD 核 心 的 Debian GNU/kFreeBSD 系 统 ， 以 及 采 


H 


有 多 种 不 同 操作 系统 核心 的 分 支 计划 ， 主 要 为 采 
NetBSD 核 心 的 Debian GNU/NetBSD 系 统 ， 甚 至 还 有 利 


Debian 系 统 中 ， 以 采用 Linux 核 心 的 Debian GNU/Linux 最 为 著名 。 


众多 的 Linux 发 行 | 


可 以 使 


版 ， 例 如 Ubuntu、Knoppix 和 Linspire 及 Xandros 等 ， 都 基于 


于 Debian GNU/Linux, 


docker search 搜 索 Docker Hub， 查 找 Debian 镜 像 ， 结 果 如 下 所 示 : 


GNU Hurd 核 心 的 D 


Linux 核 心 的 Debian GNU/Linux 系 统 ， 其 他 还 有 采 


Debian 的 系统 架构 和 工 


， 采 上 


ebian GNU/Hurd 系 统 、 采 |/ 
而 成 的 Nexenta OS 系统 。 在 这 些 


OpenSolaris 核 心 构 寻 


$ docker search debian 
NAME DESCRIPTION 


STARS 


OFFICIAL 


AUTOMATED 


debian Debian ishttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 1565 [OK] 
neurodebian NeuroDebianhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 26 [OK] 


armbuild/debian port of debi. 


an 8 [OK] 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 


可 以 使 用 docker run 直 接 运行 d 


官方 提供 了 大 家 熟知 的 debian 镜 像 以 及 面向 科研 领域 的 neurodebian 镜 像 。 


ebian 镜 像 : 


$ docker run -it debian bash 


root@668e178d8d69:/# cat /etc/issue 


Debian GNU/Linux 8 


debian 镜 像 很 适合 作为 基础 镜像 ， 用 于 构建 自 定义 镜像 。 


2.Ubuntu 系 统 简介 及 使 用 


Ubuntu 是 一 个 以 桌面 应 用 为 主 的 GNU/Linux 操 作 系统 ， 
值 观 。Ubuntu 基 于 Debian 发 行 版 和 GNOME/Unity 桌 面 


名 称 来 自 非 洲 南部 祖 鲁 语 或 豪 萨 语 的 “ubuntu” 一 词 。Ubuntu 意 思 是 “人 性 ”以 及 “我 的 存在 是 因为 大 家 的 存在 ”， 是 非洲 的 一 种 传统 价 
环境 ， 与 Debian 的 不 同 在 于 它 每 6 个 月 会 发 布 一 个 新 版 本 ， 每 2 年 会 推出 一 个 长 期 支持 (Long Term Support，LTS) 版 本 ， 一 般 支 持 3 年 。 


“q 
a 
U 


Ubuntu 相 关 的 镜像 有 很 多 ， 在 Docker Hub 上 使 用 -s 10 参 数 进行 搜索 ， 只 搜索 那些 被 收藏 10 次 以 上 的 镜像 : 


$ docker search -s 10 ubuntu 
NAME 

ubuntu 

Dockerfile/ubuntu 
crashsystems/gitlab-docker 
sylvainlasnier/memcached 
ubuntu-upstart 


DESCRIPTION STARS OFFICIAL AUTOMATED 


Official Ubuntu base image 


Upstart is an event-based replacement for http 


mbentley/ubuntu-django-uwsgi-nginx 


ansible/ubuntul4.04-ansible 
clue/ttrss 
Dockerfile/ubuntu-desktop 
tutum/ubuntu 


Ubuntu 14.04 LTS with ansible 
The Tiny Tiny RSS feed reader allows you thttp 


840 
Trusted automated Ubuntu (http://www.ubunthttp: 
A trusted, regularly updated build of GitLhttp: 
This is a Memcached 1.4.14 docker images bhttp: 


/ /www. 
/ /www. 
/ /www. 


:/ /www. 
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二 


://www. 
Trusted automated Ubuntu Desktop (LXDE) (hhttp: 
Ubuntu image with SSH access. For the roothttp: 


/ /www. 
/ /wuw. 


[OK] 


hzcourse. 
hzcourse. 
hzcourse. 
hzcourse. 


[OK] 
[OK] 


hzcourse. 
hzcourse. 者 
.Com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/. 


hzcourse 


com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/. 
com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/. 
com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/. 
com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/. 


com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/. 
com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/. 


注意 ，Docker 1.12 版 本 中 已 经 不 支持 --stars 参 数 了 ， 可 


以 使 


根据 搜索 出 来 的 结果 ， 读 者 可 以 自行 选择 下 载 镜像 并 使 


-f stars=N 参 数 。 


下 面 以 Ubuntu 14.04 为 例 ， 演 示 如 何 使 用 该 镜像 安装 一 些 常用 软件 。 


首先 使 用 -ti 参数 启动 容器 ， 登 录 bash， 查 看 ubuntu 的 发 行 版 本 号 : 


$ docker run -ti ubuntu:14.04 /bin/bash 
root@7d93de07bf76:/# lsb release -a 

No LSB modules are available. 
Distributor ID: Ubuntu 


Description: Ubuntu 14.04.1 LTS 
Release: 14.04 
Codename: trusty 


当 试图 直接 使 用 apt-get 安 装 一 个 软件 的 时 候 ， 会 提示 E: Unable to locate package: 


root@7d93de07bf76:/# apt-get install curl 

Reading package listshttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... Done 
Building dependency tree 上 

Reading state informationhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... Done 
E: Unable to locate package curl 


这 并 非 系统 不 支持 apt-get 命 令 。Docker 镜 像 在 制作 时 为 了 精简 清除 了 apt 仓 库 信 息 ， 因 此 需要 先 执行 apt-get update 命 令 来 更 新 仓库 信息 。 更 新 信息 后 即 可 成 功 通过 apt-get 命 令 来 安装 软件 : 


root@7d93de07bf76:/# apt-get update 


安装 curl 工 


root@7d93de07bf76:/# apt-get install curl -y 

Reading package listshttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... Done 
Building dependency tree 

Reading state informationhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... Done 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 

root@7d93de07bf76:/# curl 

Curl: try 'curl ~-help' or 'curl --manual' for more information 


接 下 来 ， 再 安装 apache 服 务 : 


root@7d93de07bf76:/# apt-get install -y apache2 


启动 这 个 apache 服 务 ， 然 后 使 用 curl 来 测试 本 地 访问 : 


root@7d93de07bf76:/# service apache2 start 


配合 使 用 -p 参 数 对 外 映射 服务 端口 ， 可 以 允许 外 来 容器 访问 该 服务 。 


94 CentOS/Fedora 


1.CentOS 系 统 简介 及 使 用 


CentOS 和 Fedora 都 是 基于 Redhat 的 常见 Linux 分 支 。CentOS 是 目前 企业 级 服务 器 的 常用 操作 系统 ; Fedora 则 主要 面向 个 人 桌面 用 户 。 


CentOS 


CentOS (Community Enterprise Operating System， 社 区 企业 操作 系统 ) 是 基于 Red Hat Enterprise Linux 源 代码 编译 而 成 的 。 由 于 CentOS 与 Redhat Linux 源 于 相同 的 代码 基础 ， 所 以 很 多 成 本 敏 
感 且 需要 高 稳定 性 的 公司 就 使 用 CentOS 来 替代 商业 版 Red Hat Enterprise Linux。CentOS 自 身 不 包含 闭 源 软件 。 


在 Docker Hub 上 使 用 docker search 命 令 来 搜索 标 星 至 少 为 25 的 CentOS 相 关 镜 像 ， 如 下 所 示 : 


$ docker search -f stars=25 centos 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
centos The officialhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 2543 [OK] 
jdeathe/centos-ssh 全 [OK] 


使 用 docker run 直 接 运 行 最 新 的 CentOS 镜 像 ， 并 登录 bash : 


$ docker run -it centos bash 
[root@43eb3b194d48 /]# cat /etc/redhat-release 
CentOs Linux release 7.2.1511 (Core) 


2.Fedora 系 统 简介 及 使 用 


Fedora 是 由 Fedora Project 社 区 开发 ， 红 帽 公司 赞助 的 Linux 发 行 版 。 它 的 目标 是 创建 一 套 新 颖 、 多 功能 并 且 自 由 和 开源 的 操作 系统 。 对 用 户 而 诗 ，Fedora 是 一 套 功 能 完备 的 、 可 以 更 新 的 免费 操作 系 


统 ， 而 对 赞助 商 Red Hat 而 言 ， 它 是 许多 新 技术 的 测试 平台 ， 被 认为 可 用 的 技术 最 终 会 加 入 到 Red Hat Enterprise Linux 中 。 


在 Docker Hub 上 使 用 docker search 命 令 来 搜索 标 星 至 少 为 2 的 Fedora 相 关 镜 像 ， 结 果 如 下 : 


$ docker search -f stars=2 fedora 

NAME DESCRIPTION STARS OFFICIAL 
AUTOMATED 

fedora Official Docker builds of Fedora 433 [OK] 


dockingbay/fedora-rust Trusted build of Rust programming languagehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
gluster/gluster-fedora Official GlusterFS image [ Fedora 21 + Gluhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
startx/fedora Simple container used for all startx basedhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
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使 用 docker run 命 令 直 接 运行 Fedora 官 方 镜像 ， 并 登录 bash : 


$ docker run -it fedora bash 
[root@196ca341419b /]# cat /etc/redhat-release 
Fedora release 24 (Twenty Four) 


本 章 讲解 了 典型 操作 系统 镜像 的 下 载 和 使 用 。 除 了 官方 的 镜像 之 外 ， 在 Docker Hub 上 还 有 许多 第 三 方 组 织 或 个 人 上 传 的 Docker 镜 像 。 读 者 可 以 根据 


体 情况 来 选择 。 一 般 来 说 注意 如 下 几 点 : 


: 官方 镜像 体积 都 比较 小 ， 只 带 有 一 些 基本 的 组 件 。 精 简 的 系统 有 利于 安全 、 稳 定 和 高 效 运行 ， 也 适合 进行 定制 。 
“ 个别 第 三 方 镜像 (如 tutum， 已 被 Docker 收 购 ) 质量 也 非常 高 。 这 些 镜像 通常 针对 某 个 具体 应 用 进行 配置 ， 比 如 ， 包 含 LAMP 组 件 的 Ubuntu 镜像 。 


“ 出 于 安全 考虑 ， 几 乎 所 有 官方 制作 的 镜像 都 没有 安装 SSH 服 务 ， 无 法 使 用 用 户 名 和 密码 直接 登录 。 


后 续 章 节 中 ， 笔 者 将 介绍 如 何 创 建 一 个 带 SSH 服 务 的 Docker 镜 像 。 


第 10 章 “为 镜像 添加 SSH 服 务 


在 第 一 部 分 中 介绍 了 一 些 进入 容器 的 办 法 ， 比 如 attach、exec 等 命令 ， 但 是 这 些 命令 都 无 法 解决 远程 管理 容器 的 问题 。 


Ts 


因此 ， 当 读者 需要 远程 登录 到 容器 内 进行 一 些 操作 的 时 候 ， 就 需要 SSsH 的 支持 


本 章 将 具体 介绍 如 何 自 行 创建 一 个 带 有 SSH 服 务 的 镜像 ， 并 详细 介绍 了 两 种 创建 容器 的 方法 : 基于 docker commit 命 令 创建 和 基于 Dockerfile 创 建 。 


10.1 基于 commit 命 令 创建 


Docker 提 供 了 docker commit 命 令 ， 支 持 用 户 提交 自己 对 制定 容器 的 修改 ， 并 生成 新 的 镜像 。 命 令 格式 为 docker commit CONTAINER[REPOSITORY[: TAG]]。 


这 里 将 介绍 如 何 用 docker commit 命 令 。 笔 者 以 ubuntu : 14.04 镜 像 添 加 SSH 服 务 的 操作 流程 为 例 。 


1. 准 备 工作 


首先 ， 使 用 ubuntu: 14.04 镜 像 来 创建 一 个 容器 : 


$ docker run -it ubuntu:14.04 /bin/bash 


更 新 apt 缓 存 ， 并 安装 openssh-server: 


rootefc1936ea8ceb:/# apt-get update; apt-get install openssh-server -y 


2. 安 装 和 配置 SSH 服 务 


选择 主流 的 openssh-server 作 为 服务 端 : 


rootefc1936ea8ceb:/# apt-get install openssh-server -y 


如 果 需 要 正常 启动 SSH 服 务 ， 则 目录 /var/run/sshd 必 须 存 在 。 手 动 创建 它 ， 并 启动 SSH 服 务 : 


root@fcl936ea8ceb:/# mkdir -p /var/run/sshd 
root@fcl936ea8ceb:/# /usr/sbin/sshd -D & 
[1] 3254 


此 时 查看 容器 的 22 端 口 (SSH 服 务 默认 监听 的 端口 ) ， 可 见 此 端口 已 经 处 于 监听 状态 : 


Footefc1936ea8ceb: /# netstat -tunlp 
Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 


tcP 0 0 0.0.0.0:22 QDQ .0 LISTEN - 
tcp6 0 位 二 人 全 放 二 和 革 才 LISTEN = 


修改 SSH 服 务 的 安全 登录 配置 ， 取 消 pam 登 录 限 制 : 


root@fcl936ea8ceb:/# sed -ri 's/session required pam loginuid.so/#session 


required Pam loginuid.so/g' /etc/pam.d/sshd 


在 root 用 户 目 录 下 创建 .ssh 目 录 ， 并 复制 需要 登录 的 公 钥 信 息 (一 般 为 本 地 主机 用 户 目录 下 的 .ssh/id_rsa.pub 文 件 ， 可 由 ssh-keygen-t rsa 命 令 生成 ) 到 authorized_keys 文 件 中 : 


root@fc1936ea8ceb:/# mkdir root/.ssh 
Footefc1936ea8ceb:/# vi /root/.ssh/authorized keys 


创建 自动 启动 SSH 服 务 的 可 执行 文件 run.sh， 并 添加 可 执行 权限 : 


Foote@fc1936ea8ceb:/# vi /run.sh 
Footefc1936ea8ceb:/# chmod +x run.sh 


其 中 ，run.sh 脚 本 内 容 如 下 : 


#!/bin/bash 
/usr/sbin/sshd -D 


最 后 ， 退 出 容器 : 


Foote@fc1936ea8ceb:/# exit 
exit 


3. 保 存 镜 像 


将 所 退出 的 容器 用 docker commit 命 令 保存 为 一 个 新 的 sshd: ubuntu 镜像 : 


$ docker commit fcl sshd:ubuntu 
7Taef2cd95fd0c712f022bcff6a4ddefccf20fd693da2b24b04eelcd3ed3eb6fc 


使 用 docker images 查 看 本 地 生成 的 新 镜像 sshd: ubuntu， 目 前 拥有 的 镜像 如 下 : 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
sshd Ubuntu 7Taef2cd95fd0 10 seconds ago 255.2 MB 
busybox latest e72ac664f4f0 3 weeks ago 2.433 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 
4. 使 用 镜像 


启动 容器 ， 并 添加 端口 映射 10022-->22。 其 中 10022 是 宿主 主机 的 端口 ，22 是 容器 的 SSH 服 务 监听 端 


$ docker run -p 10022:22 -d sshd:ubuntu /run.sh 
3ad7182aa47f9ce670d933£943fdec946ab69742393ab2116bace72db82b4895 


启动 成 功 后 ， 可 以 在 宿主 主机 上 看 到 容器 运行 的 详细 信息 : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
3ad7182aa47f sshd:ubuntu "/run.sh" 2 seconds ago Up 2 seconds 


0.0.0.0:10022->22/tcp focused ptolemy 


在 宿主 主机 (192.168.1.200) 或 其 他 主机 上 上 ， 可 以 通过 SSH 访 问 10022 端 口 来 登录 容器 : 


$ ssh 192.168.1.200 -p 10022 
root@3ad7182aa47f:~# 


10.2 ”使 用 Dockerfile 他 | 建 


在 第 一 部 分 中 笔者 曾 介绍 过 Dockerfile 的 基础 知识 ， 下 面 将 介绍 如 何 使 用 Dockerfile 来 创建 一 个 支持 SSH 服 务 的 镜像 。 


1. 创 建 工作 目录 


首先 ， 创 建 一 个 shd_ubuntu 工 作 目 录 : 


$ mkdir sshd ubuntu 
$ 1s 
sshd_ ubuntu 


在 其 中 ,创建 Dockerfile 和 run.sh 文 件 : 


$ cd sshd ubuntu/ 

$ touch Dockerfile run.sh 
$ 1s 

Dockerfile run.sh 


2 编写 run.sh 脚 本 和 authorized_keys 文 件 


脚本 文件 run.sh 的 内 容 与 上 一 小 节 中 一 致 : 


#!/bin/bash 
/usr/sbin/sshd -D 


在 宿主 主机 上 生成 SSH 密 钥 对 ， 并 创建 authorized_keys 文 件 : 


$ ssh-keygen -t rsa 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0OEBPS/Text/... 


$ cat ~/.ssh/id rsa.pub >authorized keys 


3. 编 写 Dockerfile 


下 面 是 Dockerfile 的 内 容 及 各 部 分 的 注释 ， 可 以 对 比 上 一 节 中 利用 docker commit 命 令 创建 镜像 过 程 ， 所 进行 的 操作 基本 一 致 : 


# 设 置 继承 镜像 

FROM ubuntu:14.04 

# 提 供 一 些 作者 的 信息 

MAINTAINER docker user (user@docker .com) 

# 下 面 开始 运行 更 新 命令 

RUN apt-get update 

# 安 装 ssh 服 务 

RUN apt-get install -y openssh-server 

RUN mkdir -p /var/run/sshd 

RUN mkdir -P /root/.ssh 

# 取 消 Pam 限 制 

RUN sed -ri 's/session required Pam loginuid.so/#session required 
pam loginuid.so/g' /etc/pam.d/sshd 

# 复 制 报时 文件 让 相应 位 置 , 并 赋予 脚本 可 执行 权限 

ADD authorized keys /root/.ssh/authorized keys 

ADD run.sh /run.sh 和 

RUN chmod 755 /run.sh 

# 开 放 端 口 

EXPOSE 22 

# 设 置 自 启动 命令 

CMD ["/run.sh"] 


4. 创 建 镜像 


在 sshd_ubuntu 目 录 下 ,使 用 docker build 命 令 来 创建 镜像 。 这 里 需要 注意 最 后 还 有 一 个 “.”， 


表示 使 


当前 目录 中 的 Dockerfile : 


$ cd sshd ubuntu 
$ docker build -t sshd:Dockerfile . 


如 果 读 者 使 


Dockerfile 创 建 


定义 镜像 ， 那 么 需要 注意 的 是 Docker 会 自动 删除 中 间 临 时 创建 的 层 ， 还 需要 注意 每 一 步 的 操作 和 编写 的 Dockerfile 中 命令 的 对 应 关系 。 


命令 执行 完毕 后 ， 如 果 读 者 可 见 “Successfully built XXX” 字 样 ， 则 说 明镜 像 创 建成 功 。 可 以 看 到 ， 以 上 命令 生成 的 镜像 ID 是 570c26a9de68。 


在 本 地 查看 sshd: Dockerfile 镜 像 已 存在 : 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
sshd Dockerfile 570c26a9de68 4 minutes ago 246.5 MB 
sshd Ubuntu 7Taef2cd95fq0 12 hours ago 255.2 MB 
busybox latest e72ac664f4f0 3 weeks ago 2.433 MB 
ubuntu 14.04 ba5877dc9bec 3 months ago 192.7 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 
5. 测 试镜 像 ， 运 行 容器 
使 用 刚才 创建 的 sshd: Dockerfile 镜 像 来 运行 一 个 容器 。 
直接 启动 镜像 ， 映 射 容器 的 22 端 口 到 本 地 的 10122 端 口 : 
$ docker run -d -p 10122:22 sshd:Dockerfile 
890c04ff8d769b604386ba4475253ae8c21fc92d60083759afa77573bf4e8af1l 
$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED 

STATUS PORTS NAMES 
890c04ff8d76 sshd:Dockerfile "/run.sh" 4 seconds ago 


Up 3 seconds 0.0.0.0:10122->22/tcp high albattani 


在 宿 


机 新 打开 一 个 终端 ， 连 接 到 新 建 的 容器 : 


$ ssh 192.168.1.200 -pP 10122 
root@890c04ff8d76:~# 


效果 与 上 一 小 节 一 致 ， 镜 像 创 建成 功 。 


10.3” 本章 小 结 


程 3 


在 Docker 社 区 中 ， 对 于 是 否 需要 为 Docker 容 器 启用 SSH 服 务 一 直 有 争论 。 


反对 方 的 观点 是 : Docker 的 理念 是 一 个 容器 只 运行 一 个 服务 。 


支持 方 的 观点 是 : 在 Docker 1.3 版 本 之 前 ， 如 果 要 用 attach 进 入 容器 ， 经 常 容易 出 现 卡 死 的 情况 。1.3 之 后 ， 


机 进入 容器 依然 没有 更 好 的 解决 方案 。 


笔者 认为 ， 这 两 种 说 法 各 有 道理 ， 其 实 是 在 讨论 不 同 的 容器 场景 : 即 作为 应 


理 员 的 登录 操作 ， 这 个 时 候 ， 对 SSH 服 务 的 支持 就 变 得 十 分 必要 了 。 


此 ， 如 果 每 个 容器 都 运行 一 个 额外 的 SSH 服 务 ， 就 违背 了 这 个 理念 。 另 外 认为 根本 没有 从 远程 主机 进入 容器 进行 维护 的 必要 。 


虽然 官方 推出 了 docker exec 命 令 ， 再 从 宿 


机 进入 是 没有 障碍 了 ， 但 是 如 果 要 从 其 他 远 


容器 还 是 作为 系统 容器 。 应 


容器 行为 围绕 应 


生命 周期 ， 较 为 简单 ， 不 需要 人 工 的 额外 干预 ; 而 系统 容器 则 需要 支持 管 
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Web 服 务 和 应 用 是 目前 信息 技术 领域 的 热门 技术 。 


因此 ， 在 Docker 推 出 更 加 高 效 、 安 全 的 方式 对 系统 容器 进行 远程 操作 之 前 ， 容 器 的 SSH 服 务 还 是 比较 重要 的 ， 而 


它 对 资源 的 需求 不 高 ， 同 时 安全 性 可 以 保障 。 


本 章 将 重点 介绍 如 何 使 


本 章 会 展示 两 种 创建 镜像 的 过 程 。 其 中 一 些 操作 比较 简单 的 镜像 使 


通过 本 章 的 介绍 ， 


户 将 可 以 根据 自己 需求 轻松 定制 Web 服 务 或 应 用 镜像 。 


.1 Apache 


Docker 来 运行 常见 的 Web 服 务 器 (包括 Apache、Nginx、Tomcat 等 ) ， 以 及 一 些 常 用 应 用 (LAMP、CMS 等 ) 。 包 括 具 体 的 镜像 构建 方法 与 使 用 步骤 。 


Dockerfile 来 创建 ， 而 像 Weblogic 这 样 复杂 的 应 


， 则 使 


commit 方 式 来 创建 ， 读 者 可 根据 自己 的 需求 进行 选择 。 


Apache 是 一 个 高 稳定 性 的 、 商 业 级 别 的 开源 Web 服 务 器 。 目 前 Apache 已 经 是 世界 使 用 排名 第 一 的 Web 服 务 器 软件 。 由 于 其 良好 的 跨 平台 和 安全 性 ，Apache 被 广泛 应 用 在 多 种 平台 和 操作 系统 上 。 作 
为 Apache 软 件 基金 会 支持 的 项 目 ， 它 的 开发 者 社区 完善 而 高 效 。 自 1995 年 发 布 至 今 ， 一 直 以 高 标准 进行 维护 与 开发 。Apache 名 称 源 自 美国 的 西南 部 一 个 印第安 人 部 落 : 阿 帕 奇 族 ， 它 支持 类 UNIX 和 
Windows 系 统 。 


> Apache 


1. 使 用 官方 镜像 


官方 提供 了 名 为 httpd 的 Apache 镜 像 ， 可 以 作为 基础 Web 服 务 镜像 。 


编写 Dockerfile 文 件 ， 内 容 如 下 : 


FROM httpd:2.4 
COPY ./public-html /usr/local/apache2/htdocs/ 


创建 项 目 目录 public-html， 并 在 此 目录 下 创建 index.html 文 件 : 


<!DOCTYPE html> 
<html> 
<body> 
<p>Hello, Docker!</p> 
</body> 
</html> 


构建 自 定义 镜像 : 


$ docker build -t apache2-image . 


构建 完成 后 ， 使 用 docker run 指 令 运行 镜像 : 


$ docker run -it --rm --name apache-container -p 80:80 apache2-image 


通过 本 地 的 80 端 口 即 可 访问 静态 页 面 ， 如 图 11-1 所 示 。 


| 192.168.99.100 


Hello, Docker! 


图 11-1 Apache 运 行 界面 


也 可 以 不 创建 自 定 义 镜像 ， 直 接 通 过 映射 目录 方式 运行 Apache 容 器 : 


$ docker run -it --rm --name my-apache-app -p 80:80 -~v "$PWD":/usr/local/ 
apache2/htdocs/ httpd:2.4 


再 次 打开 浏览 器 ， 可 以 再 次 看 到 页 面 输出 。 


2. 使 用 自 定义 镜像 


首先 ,创建 一 个 apache_ubuntu 工 作 目 录 ， 在 其 中 创建 Dockerfile 文 件 、run.sh 文 件 和 sample 目 录 : 


$ mkdir apache ubuntu && cd apache ubuntu 
$ touch Dockerfile run.sh 
$ mkdir sample 


下 面 是 Dockerfile 的 内 容 和 各 个 部 分 的 说 明 : 


FROM sshd:Dockerfile 
# 设 置 继承 自用 户 创建 的 Sshd 镜 像 
MAINTAINER docker user (user@docker .com) 
# 创 建 者 的 基本 信息 
# 设 置 环境 变量 ， 所 有 操作 都 是 非 交互 式 的 
ENV DEBIAN FRONTEND noninteractive 
# 安 装 
RUN apt-get -yq install apache2&&N\ 
rm -rf /var/lib/apt/lists/* 
RUN echo "Asia/Shanghai" > /etc/timezone && \ 
dpkg-reconfigure -f noninteractive tzdata 
# 注 意 这 里 要 更 改 系 统 的 时 区 设置 ， 因 为 在 Web 应 用 中 经 常会 用 到 时 区 这 个 系统 变量 ， 默 认 的 Ubuntu 
?会 让 你 的 应 用 程序 发 生 不 可 思议 的 效果 哦 
# 添 加 用 户 的 脚本 ， 并 设置 权限 ， 这 会 覆盖 之 前 放 在 这 个 位 置 的 脚本 
ADD run.sh /run.sh 
RUN chmod 755 /* .sh 
# 添 加 一 个 示例 的 web 站 点 ， 删 掉 默 认 安 装 在 apache 文 件 夹 下 面 的 文件 ， 并 将 用 户 添 加 的 示例 用 软 链接 
? 链 到 /Var/www/html 目 录 下 面 
RUN mkdir -P /var/lock/apache2 &gmkdir -p /app && rm -fr /var/www/html && ln -s 
/app /var/www/html 
COPY sample/ /app 
# 设 置 apache 相 关 的 一 些 变 量 ， 在 容器 启动 的 时 候 可 以 使 用 -e 参 数 替代 
ENV APACHE RUN USER www-data 
ENV APACHE RUN GROUP www-data 
ENV APACHE LOG DIR /var/log/apache2 
ENV APACHE PID FILE /var/run/apache2.pid 
ENV APACHE RUN DIR /var/run/apache2 
ENV APACHE LOCK DIR /var/lock/apache2 
ENV APACHE SERVERADMIN admin@localhost 
ENV APACHE SERVERNAME localhost 
ENV APACHE SERVERALIAS docker.localhost 
ENV APACHE DOCUMENTROOT /var/www 
EXPOSE 80 


WORKDIR /app 
CMD ["/run.sh"] 


此 sample 站 点 的 内 容 为 输出 Hello Docker! 。 然 后 在 sample 目 录 下 创建 index.html 文 件 ， 内 容 如 下 : 


<!DOCTYPE html> 
<html> 
<body> 
<p>Hello, Docker!</p> 
</body> 
</html> 


run.sh 脚 本 内 容 也 很 简单 ， 只 是 启动 apache 服 务 : 


$ cat run.sh 
#!/bin/bash 
exec apache2 -D FOREGROUND 


此 时 ，apache_ubuntu 目 录 下 面 的 文件 结构 为 : 


$ tree . 


1-- Dockerfile 
|-- :rue 
`-- sample 
`“-- index.html 
1 directory, 3 files 


下 面 ， 用 户 开始 创建 apache: ubuntu 镜像 : 


使 用 docker build 命 令 创建 apache: ubuntu 镜 像 ， 注 意 命令 最 后 的 “.”。 


$ docker build -t apache:ubuntu . 


下 面 开始 使 用 docker run 指 令 测 斌 镜像。 可 以 使 用 -P 参 数 映射 需 要 开放 的 端口 (22 和 80 端 口 ) : 


$ docker run -d -P apache:ubuntu 
64681e2ae943fl8eae9f599dbc43b5f44d9090bdca3d8af641d7b371cl24acfd 
$ docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS 
PORTS NAMES 

64681e2ae943 apache:ubuntu "/run.sh" 2 seconds ago 
Up 1 seconds 0.0.0.0:49171->22/tcp, 0.0.0.0:49172->80/tcp 
naughty poincare 

890c04ff8d76 sshd:Dockerfile “rn” 9 hours ago 
Exited (0) 3 hours ago 0.0.0.0:101->22/tcp high albattani 

3ad7182aa47f sshd:ubuntu "/run.sh" 21 hours ago 


Exited (0) 3 hours ago 0.0.0.0:100->22/tcp focused ptolemy 


在 本 地 主机 上 用 curl 抓 取 网 页 来 验证 刚才 创建 的 ample 站 点 : 


$ curl 127.0.0.1:49172 
Hello Docker! 


读者 也 可 以 在 其 他 设备 上 通过 访问 宿主 主机 ip: 49172 来 访问 sample 站 点 。 


不 知道 有 没有 细心 的 读者 发 现 ， 在 apache 镜 像 的 Dockerfile 中 只 用 EXPOSE 定 义 了 对 外 开放 的 80 端 口 ， 而 在 docker ps-a 命 令 的 返回 中 ， 却 看 到 新 启动 的 容器 映射 了 两 个 端口 : 22 和 80。 


但 是 实际 上 ， 当 尝试 使 用 SSH 登 录 到 容器 时 ， 会 发 现 无 法 登录 。 这 是 因为 在 run.sh 脚 本 中 并 未 启动 SSH 服 务 。 这 说 明 在 使 用 Dockerfile 创 建 镜像 时 ， 会 继承 父 镜像 的 开放 端口 ， 但 却 不 会 继承 启动 命令 。 
因此 ， 需 要 在 run.sh 脚 本 中 添加 启动 shd 的 服务 的 命令 : 


$ cat run.sh 

#!/bin/bash 
/usr/sbin/sshd & 

exec apache2 -D FOREGROUND 


再 次 创建 镜像 : 


$ docker build -t apache:ubuntu . 


这 次 创建 的 镜像 ， 将 默认 会 同时 启动 SSH 和 Apache 服 务 。 


下 面 ， 来 看 看 如 何 映射 本 地 目录 。 可 以 通过 映射 本 地 目录 的 方式 ， 来 指定 容器 内 Apache 服 务 响应 的 内 容 ， 例 如 映射 本 地 主机 上 当前 目录 下 的 www 目 录 到 容器 内 的 /var/www 目 录 : 


$ docker run -i -d -p 80:80 -p 103:22 -e APACHE SERVERNAME=test -Vv ‘pwd /www:/ 
Var/www:ro apache:ubuntu 


在 当前 目录 内 创建 www 目 录 ， 并 放 上 自 定义 的 页 面 index.html， 内 容 如 下 : 


<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> 

<html><head> 

<title>Hi Docker</title> 

</head><body> 

<h1>Hi Docker</h1> 

<p>This is the first day I meet the new world.</p> 

<p>How are you?</p> 

<hr> 

<address>Apache/2.4.7 (Ubuntu) Server at 127.0.0.1 Port 80</address> 
</body></html> 


在 本 地 主机 上 可 访问 测试 容器 提供 的 Web 服 务 ， 查 看 获取 内 容 为 新 配置 的 index.html 页 面 信息 。 


回 
| 


11.2 Nginx 


Nginx 是 一 款 功能 强大 的 开源 反 向 代理 服务 器 ， 支 持 HTTP、HTTPS、SMTP、POP3、IMAP 等 协议 。 它 也 可 以 作为 负载 均衡 器 、HTTP 缓 存 或 Web 服 务 器 。Nginx 一 开始 就 专注 于 高 并 发 和 高 性 能 的 应 
用 场景 。 它 使 用 类 BSD 开 源 协 议 ， 支 持 Linux、BSD、Mac、Solaris、AlX 等 类 Unix 系 统 ， 同 时 也 有 Windows 上 的 移植 版 本 。 


Vi 和 X 


本 节 将 介绍 Nginx 官 方 镜像 的 使 用 。 


1. 使 用 官方 镜像 


用 户 可 以 使 用 docker run 指 令 直接 运行 官方 Nginx 镜 像 : 


$ docker run -d -p 80 --name webserver nginx 
te 


然后 使 用 docker ps 指令 查看 当前 运行 的 docker ps 指令 查看 当前 运行 的 容器 : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
34bcd01998a7 nginx "nginxhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/..." 2min ago Up 0.0.0.0:80->80/tcp, 443/t 


目前 Nginx 容 器 已 经 在 0.0.0.0: 80 启 动 ， 并 映射 了 80 端 口 ， 此 时 可 以 打开 浏览 器 访问 此 地 址 ， 就 可 以 看 到 Nginx 输 出 的 页 面 ， 如 图 11-2 所 示 。 


Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required. 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com. 


Thank you for using nginx. 


图 11-2 访问 Nginx 服 务 
2. 自 定义 Web 页 面 


同样 的 ， 创 建 index.html 文 件 ， 并 将 index.html 文 件 挂 载 至 容器 中 ， 即 可 看 到 显示 自 定义 的 页 面 。 


$ docker run --name nginx-container -p 80:80 -v index.html:/usr/share/nginx/ 
html:ro -d nginx 


另外 ， 也 可 以 使 用 Dockerfile 来 构建 新 镜像 。Dockerfile 内 容 如 下 : 


FROM nginx 
COPY ./index.html /usr/share/nginx/html 


开始 构建 镜像 my-nginx: 


$ docker build -t my-nginx . 


构建 成 功 后 执行 docker run 指 令 : 


$ docker run --name nginx-container -d my-nginx 


11.3 Tomcat 


Tomcat 是 由 Apache 软 件 基金 会 下 属 的 Jakarta 项 目 开发 的 一 个 Servlet 容 器 ， 按 照 Sun Microsystems 提 供 的 技术 规范 ， 实 现 了 对 Servlet 和 Java Server Page (JSP) 的 支持 。 同 时 ， 它 提供 了 作为 Web 
服务 器 的 一 些 特有 功能 ， 如 Tomcat 管 理 和 控制 平台 、 安 全 域 管理 和 Tomcat 阀 等 。 由 于 Tomcat 本 身 也 内 含 了 一 个 HTTP 服 务 器 ， 也 可 以 当 作 一 个 单独 的 Web 服 务 器 来 使 用 。 下 面 介绍 如 何 定制 Tomcat 镜 
像 。 


TOMCAT 


首先 ， 尝 试 在 Docker Hub 上 搜索 已 有 的 Tomcat 相 关 镜 像 的 个 数 : 


$ docker search tomcat |wc -1 
285 


可 以 看 到 ， 已 经 有 285 个 相关 镜像 。 如 是 个 人 开发 或 测试 ， 可 以 随意 选择 一 个 镜像 ， 按 照 提示 启动 应 用 即 可 。 
下 面 以 Tomcat 7.0 为 例 介绍 定制 Tomcat 镜 像 的 步骤 。 

1. 准 备 工作 

创建 tomcat7.0_jdk1.6 文 件 夹 ， 从 www.oracle.com 网 站 上 下 载 sun_jdk 1.6 压 缩 包 ， 解 压 为 jdk 目 录 。 


创建 Dockerfile 和 run.sh 文 件 : 


$ mkdir tomcat7.0 jdk1.6 
$ cd tomcat7.0 jdKk1.6/ 
$ touch Dockerfile run.sh 


下 载 Tomcat， 可 以 到 官方 网 站 下 载 最 新 的 版 本 ， 也 可 以 直接 使 用 下 面 链 接 中 给 出 的 版 本 : 


$ wget http://mirror.bit.edu.cn/apache/tomcat/tomcat-7/v7.0.56/bin/apache-tomcat— 
7.0.56.zip 


解压 后 ，tomcat7.0 jdk1.6 目 录 结 构 应 如 下 所 示 (多 余 的 压缩 包 文 件 已 经 被 删除 ) : 


$ 1s 
Dockerfile apache-tomcat-7.0.56 jdk run.sh 


2.Dockerfile 文 件 和 其 他 脚本 文件 


Dockerfile 文 件 内 容 如 下 : 


FROM sshd:Dockerfile 

# 设 置 继 承 自用 户 创建 的 sshd 镜 像 

MAINTAINER docker user (user@docker .com) 

# 下 面 是 一 些 创建 者 的 天 本 信息 

# 设 置 环境 变量 ， 所 有 操作 都 是 非 交 互 式 的 

ENV DEBIAN FRONTEND noninteractive 

# 注 意 这 里 要 更 改 系统 的 时 区 设置 

RUN echo "Asia/Shanghai" > /etc/timezone && \ 

dpkg-reconfigure -f noninteractive tzdata 

# 安 装 跟 tomcat 用 户 认证 相关 的 软件 

RUN apt-get install -yq --no-install-recommends wget pwgen ca-certificates && \ 
apt-get clean && \ 
rm -rf /var/lib/apt/lists/* 

# 设 置 tomcat 的 环境 变量 ， 若 读者 有 其 他 的 环境 变量 需要 设置 ， 也 可 以 在 这 里 添加 。 

ENV CATALINA HOME /tomcat 

ENV JAVA HOME /jdk 

# 复 制 tomcat 和 jdk 文 件 到 镜像 中 

ADD apache-tomcat-7.0.56 /tomcat 

ADD jdk /jdk 

ADD create tomcat admin user.sh /create tomcat admin user.sh 

ADD run.sh /run.sh 加 加 本 全 

RUN chmod +x /*.sh 

RUN chmod +x /tomcat/bin/*.sh 

EXPOSE 8080 

CMD ["/run.sh"] 


创建 tomcat 用 户 和 密码 脚本 文件 create_tomcat_admin_user.sh 文 件 ， 内 容 为 : 


#!/bin/bash 
| < 下 /.tomcat admin created ]; then 
echo "Tomcat "admin' user already created" 
exit 0 
£1i 
#generate password 
PASS=$ {TOMCAT PASS:-$ (pwgen -s 12 1)} 
_word=$ ( [ ${TOMCAT PASS} ] && echo "preset" || echo "random" ) 
Creating and admin user with a ${_ word} password in Tomcat" 
-r 's/<\/tomcat-users>//' ${CATALINA HOME}/conf/tomcat-users.xml 
echo '<role ‘manager-gui"/>' >> ${CATALINA HOME}/conf/tomcat-users.xml 
echo '<role manager-script"/>' >> ${CATALINA HOME}/conf/tomcat-users.xml 
echo '<role manager-jmx"/>' >> ${CATALINA HOME}/conf/tomcat-users.xml 
echo '<role admin-gui"/>' >> S$ {CATALINA HOME}/conf/tomcat-users.xml 
echo '<role admin-script"/>' >> ${CATALINA HOME}/conf/tomcat-users.xml 
echo "<user "admin\" password=\"${PASS}\" roles=\"manager-gui,manager- 
script,manager-jmx, admin-gui, admin-script\"/>" >> ${CATALINA HOME}/conf/ 
tomcat-users .Xml 
echo '</tomcat-users>' >> ${CATALINA HOME.}/conf/tomcat-users.xml 
echo "=> Done!™ 
touch /.tomcat admin created 
echo "= 
echo "You can now configure to this Tomcat server using:" 
echo wm 


echo " admin:S${PRSS}" 


echo 
echo 


编写 run.sh 脚 本 文件 ， 内 容 为 : 


#!/bin/bash 

if [ ! -f /.tomcat admin created ]; then 
/create tomcat admin user.sh 

这 

/usr/sbin/sshd -D & 

exec ${CATALINA HOME}/bin/catalina.sh run 


3. 创 建 和 测试 镜像 


通过 下 面 的 命令 创建 镜像 tomcat7.0: jdk1.6: 


$ docker build -t tomcat7.0:jdk1.6 . 


启动 一 个 tomcat 容 器 进行 测试 : 


$ docker run -d -P tomcat7.0:jdk1.6 
3cd4238cb32a713a3alc29d93fbfc80cbal150653b5eb8bd7629bee957e7378ed 


通过 docker logs 得 到 tomcat 的 密码 aBwNOCNCPckw: 


$ docker logs 3cd 
=> Creating and admin user with a random password in Tomcat 
Done! 


You can now configure to this Tomcat server using: 
admin:aBwNOCNCPCckw 


查看 映射 的 端口 信息 : 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

3cd4238cb32a tomcat7.0:jdk1.6 msShnr 4 seconds ago 
UP 3 seconds 0.0.0.0:49157->22/tcp, 0.0.0.0:49158->8080/tcp 


cranky wright 


在 本 地 使 用 浏览 器 登录 Tomcat 管 理 界面 ， 访 问 本 地 的 49158 端 口 ， 即 http://127.0.0.1:49158， 如 图 


11-3 所 示 。 


Home _ Documentation Configuration Examples Wiki Mailing Lists Find Help 


pache Tomcat17.0.56 The Apache Software Foundatio 


http://www.apache.org/ 


If you're seeing this, you've successfully installed Tomcat. Congratulations! 


Recommended Reading: 
Security Considerations HOW-TO 


Manager Application HOW-TO 
Clustering/Session Replication HOW-TO 


Developer Quick Start 


Tomcat Setup Realms & AAA 
First Web lication JDBC DataSources 


Managing Tomcat Documentation Getting Help 


For security, access to the manager webapp is Tomcat 7.0 Documentation FAQ and Mailing Lists 
restricted. Users are defined in: 


Tomcat 7.0 Co on The following mailing lists are available: 
$CATALI NA_HOME/ conf /tomcat. -users, xml 
Tomcat Wiki 


omcat-announce 
In Tomcat 7.0 access to the manager Important announcements, releases, security 
application is split between different users. Find additional important configuration vulnerability notifications. (Low volume). 
Read more... information in: 


tomcat-users 
$CATALI NA_HOME/RUNNI NG, txt. User support and discussion 


图 11-3 ”Tomcat 启动 页 面 


输入 从 docker logs 中 得 到 的 密码 ， 如 图 11-4 所 示 。 


需要 验证 YOY 


http//192.168.1.134:49158 请 求 用 户 名 和 密码 。 信 息 为 : “Tomcat Host Manager Application” 


am 
[ER 


my | we | 


图 11-4 _ Tomcat 登录 


成 功 进入 管理 界面 ， 如 图 11-5 所 示 。 


ws-Apache 


Software Foundation 
http://www.apache.org/ 


Tomcat Virtual Host Manager 


List Virtual Hosts HTML Host Manager | HMLHostManagerHelp(T0D0) | HostManagerHelp(ToDpO)] | (ToDO) Host Manager Help (TODO) 


Host Manager installed - commands disabled 


Aliases: 


App base: | 


图 11-5” Tomcat 管理 界面 


Ot 言 


在 实际 环境 中 ， 可 以 通过 使 用 -v 参 数 来 挂 载 Tomcat 的 日 志文 件 、 程 序 所 在 目录 、 以 及 与 Tomcat 相 关 的 配置 。 


11.4 _ Jetty 


Jetty 是 一 个 优秀 的 开源 Servlet 容 器 ， 以 其 高 效 、 小 巧 、 可 嵌入 式 等 优点 深 得 人 心 ， 它 为 基于 Java 的 Web 内 容 (如 JSP 和 Servlet) 提供 运行 环境 。Jetty 基 于 Java 语 


发 布 。 开 发 人 员 可 以 将 Jetty 容 器 实例 化 成 一 个 对 象 ， 可 以 迅速 为 一 些 独立 运行 的 Java 应 用 提供 Web 服 务 。 


言 编写 ， 它 的 API 以 一 组 JAR 包 的 形式 


相对 老牌 的 Tomcat，Jetty 架 构 更 合理 ， 性 能 更 优 。 尤 其 在 启动 速度 上 ， 让 Tomcat 望 侍 莫 及 。Jetty 目 前 在 国内 外 互联 网 企业 中 应 用 广泛 。 


DockerHub 官 方 提供 了 Jetty 镜 像 ， 直 接 运 行 docker run 指 令 即 可 : 


$ docker run -d jetty 


使 用 docker ps 指令 查看 正在 运行 中 的 jetty 容 器 : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
£7£19d70£2773 jetty "/docker-entrypoint.b" x ago Up 8080/tcp lonely poitras 


当然 ， 还 可 以 使 用 -p 参 数 映射 运行 端 


$ docker run -d -p 80:8080 -p 443:8443 jetty 
7Tbc629845e8b953e02e31caaac24744232e21816dcf81568c029eb8750775733 


使 用 宿主 机 的 浏览 器 访问 container-ip:8080， 即 可 获得 Jetty 运 行 页 面 ， 由 于 当前 没有 内 容 ， 会 提示 错误 信息 。 


11.5 LAMP 


LAMP (Linux-Apache-MySQL-PHP) 是 目前 流行 的 Web 工 具 栈 


其 中 包括 : Linux 操 作 系统 ，Apache 网 络 服务 器 ，MySQl 数 据 库 ，Perl|、PHP 或 者 Python 编程 语言 。 其 组 成 工具 均 是 成 熟 的 开源 软 


件 ， 被 大 量 网 站 所 采用 。 和 Java/J2EE 架 构 相 比 ，LAMP 具 有 Web 资 源 丰富 、 轻 量 、 快 速 开发 等 特点 ;和 微软 的 .NET 架 构 相 比 ，LAMP 更 具有 通用 、 跨 平台 、 高 性 能 、 低 价格 的 优势 。 因 此 LAMP 无 论 是 在 性 


能 、 质 量 还 是 价格 方面 都 是 企业 搭建 网 站 的 首选 平台 。 


LAM A 


Linux Apache MySOL PHP.,Perl,Python 


@is 


现在 也 有 人 用 Nginx 替 换 Apache， 称 为 LNMP 或 LEMP， 但 并 不 影响 整个 框架 的 选 型 原则 ， 是 彼此 十 分 类 似 的 技术 栈 。 


可 以 使 用 自 定义 Dockerfile 或 者 Compose 方 式 运行 LAMP， 同 时 社区 也 提供 了 十 分 成 熟 的 linode/lamp 和 tuturylamp 镜 像 。 下 面 介绍 后 两 种 方法 。 


1. 使 用 linode/lamp 镜 像 


首先 ,执行 docker run 指 令 ， 直 接 运行 镜像 ， 并 进入 容器 内 部 bash shell: 


$ docker run -p 80:80 -t -i linode/lamp /bin/bash 
root@e283cc3b2908:/# 


在 容器 内 部 shell 启 动 apache 以 及 mysq|l 服 务 : 


$ root@e283cc3b2908:/# service apache2 start 
* Starting web server apache2 
$ root@e283cc3b2908:/# service mysql start 
* Starting MySQL database server mysqld [ OK 
* Checking for tables which need an upgrade, are corrupt or were not closed cleanly. 


镜像 中 apache、mysql 服 务 已 经 启动 ， 可 使 用 docker ps 指令 查看 运行 中 的 容器 : 


$ docker ps -aCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAME.Se283cc3b2908 linode/lamp "/bin/bash" x ago Up x seconds 0.0.0.0:80-> 
80/tcp trusting mestorf 


此 时 通过 浏览 器 访问 本 地 80 端 口 即 可 看 到 默认 页 面 。 


2. 使 用 tutum/lamp 镜 像 


首先 ,执行 docker run 指 令 ， 直 接 运行 镜像 : 


$ docker run -d -p 80:80 -p 3306:3306 tutum/lamp 


容器 启动 成 功 后 ， 打 开 浏 览 器 ,访问 demo 页 面 : 


€ > CC | 192.168.99.100 


tutum 


Hello world! 
MySQL Server version: 5.5.47-0ubuntu0.14.04.1 


图 11-6 LAMP 容 器 Demo 页 面 


11.6 CMS 


内 容 管理 系统 (Content Management System，CMS) 指 的 是 提供 内 容 编 辑 服务 的 平台 程序 。CM S 可 以 让 不 懂 编 程 的 用 户 方便 又 轻松 地 发 布 、 更 改 和 管理 各 类 数字 内 容 (主要 以 文本 和 图 像 为 
圭 )% 


下 面 ， 笔 者 将 以 Wordpress 和 Ghost 两 个 流行 的 CMS 软 件 为 例 ， 介 绍 如 何 制作 和 使 用 对 应 的 Docker 镜 像 。 


11.6.1 WordPress 


WordPress 是 风靡 全 球 的 开源 内 容 管 理 系 统 ， 是 博客 、 企 业 官 网 、 产 品 首页 等 内 容 相关 平台 的 主流 实现 方案 之 一 。 类 似 项 目 还 有 Drupal、Joomla、Typo3 等 。 


WordPress 基 于 PHP 和 MySQL， 架 构 设计 简单 明了 ， 支 持 主题 ， 插 件 和 各 种 功能 模块 。 更 重要 的 是 ，WordPress 拥 有 庞大 的 社区 ， 在 线 资源 非常 丰富 ， 并 且 在 各 大 网 络 空间 商 和 云 平台 中 受到 广泛 的 支 


寺 。 根 据 2013 年 8 月 的 统计 数据 ， 流 量 排名 前 一 干 万 的 网 站 中 其 使 用 率 高 达 22%。 


1. 使 用 官方 镜像 


首先 ， 通 过 Docker Hub 下 载 官方 wordpress 镜 像 : 


$ docker pull wordpress 


然后 ， 就 可 以 创建 并 运行 一 个 wordpress 容 器 ， 并 连接 到 mysql 容 器 : 


$ docker run --name some-wordpress --link some-mysql:mysql -d wordpress 


同样 ， 用 户 可 以 使 用 -p 参 数 来 进行 端口 映射 : 


$ docker run --name some-wordpress --link some-mysql:mysql -p 8080:80 -d wordpress 


启动 成 功 后 ， 可 在 浏览 器 中 访问 http://localhost:8080 来 打开 WordPress 页 面 。 


2. 使 用 Compose 搭 建 WordPress 应 


可 以 使 用 Compose 来 一 键 搭建 WordPress 应 


首先 ， 新 建 docker-compose.ym| 文 件 : 


wordpress: 
image: wordpress 
links: 
- db:mysql 
ports: 


— 8080:80 
dbp: 
image: mariadb 
environment: 
MYSQL ROOT PASSWORD: example 


然后 执行 : 


$ docker-compose up 


OA 
如 果 提 示 没 有 docker-compose 命 令 ， 可 以 通过 pip install docker-compose 来 在 线 安装 。 


待 服务 启动 后 ， 即 可 打开 浏览 器 访问 本 地 80 端 口 打开 WordPress 配 置 界 面 ， 如 图 11-7 所 示 。 


白 192.168.99.100:8080/wp-admin/install.php 


Welcome 


Welcome to the famous five-minute WordPress installation process! Just fill in the information below and 
you'll be on your way to using the most extendable and powerful personal publishing platform in the world. 


Information needed 


Please provide the following information. Don't worry, you can always change these settings later. 


[CC 一 一 


Username 


Usernames can have only alphanumeric characters, spaces, underscores, hyphens, periods, and the 
@ symbol. 


foT#n0yV%q%qrg@Pg5 


Important You will need this password to log in. Please store it in a secure location. 


Your Email 


Double-check your email address before continuing. 


Search Engine 口 Discourage search engines from indexing this site 
Visibility Itis up to search engines to honor this request. 


Install WordPress 


图 11-7 WordPress 容 器 启动 页 面 


11.6.2 Ghost 


Ghost 是 一 个 广 受 欢迎 的 开源 博客 平台 ， 使 用 Javascript 编 写 ， 以 MIT 协 议 发 布 。 它 的 设计 非常 简约 ， 使 用 起 来 体验 优异 ， 非 常 适合 做 内 容 发 布 ， 故 而 受到 很 多 极 客 或 技术 工作 者 的 喜爱 。 


= ghost 


读者 可 以 直接 使 用 Docker Hub 提 供 的 官方 Ghost 镜像 。 直 接 使 | 


docker run 指 令 运行 : 


$ docker run --name ghost-container -d ghost 


至 此 已 经 成 功 启动 了 一 个 Ghost 容 器 ， 如 图 11-8 所 示 ， 内 含 Ghost 实 例 并 监听 默认 的 2368 服 务 端 口 。 当 然 可 以 对 服务 进行 端口 映射 ， 如 下 所 示 : 


$ docker run --name ghost-container-1 -p 8080:2368 -d ghost 
df116b7d570b3456950f4d7c22f£6911124427d16635080817e884922b491a2d 


加 192.168.99.100:8080 


Just a blogging platform. 


Welcome to Ghost 


You're live! Nice. We've put together a little post to introduce you to the Ghost editor 
and get you started. You can manage your content by » 


Ghost Owner on Getting Started | 23 MAY 2016 


Page 1 of 1 


司 11-8 ”Ghost 容器 启动 页 面 


读者 还 可 以 挂 载 已 有 的 内 容 到 Ghost 容器 内 : 


$ docker run --name some-ghost -v /path/to/ghost/blog:/var/lib/ghost ghost 


11.7 ”持续 开发 与 管理 


信息 行业 日 新 月 异 ， 如 何 响应 不 断 变化 的 需求 ， 快 速 适应 和 保证 软件 的 质量 ? 持续 集成 Continuous integration，Cl) 正 是 针对 这 类 问题 的 一 种 开发 实践 ， 它 倡导 开发 团队 定期 进行 集成 验证 。 集 成 
通过 自动 化 的 构建 来 完成 ， 包 括 自动 编译 、 发 布 和 测试 ， 从 而 尽快 地 发 现 错误 。 CI 所 描述 的 软件 开发 是 从 原始 需求 识别 到 最 终 产品 部 署 整个 过 程 中 ， 需 求 以 小 批量 形式 在 团队 的 各 个 角色 间 顺 畅 流 动 ， 能 
以 较 短 地 周期 完成 需求 的 小 粒度 频繁 交付 。 整 个 过 程 中 ， 需 求 分 析 、 产 品 的 用 户 体验 和 交互 设计 、 开 发 、 测 试 、 运 维 等 角色 需要 密切 协作 。 


持续 集成 特点 包括 : 从 检 出 代码 、 编 译 构 建 、 运 行 测试 、 结 果 记录 、 测 试 统计 等 都 是 自动 完成 的 ， 减 少 人 工 干预 。 需 要 有 持续 集成 系统 的 支持 ， 包 括 代码 托管 机 制 支持 ， 以 及 集成 服务 器 等 。 


持续 交付 (Continuous delivery，CD) 则 是 经 典 的 敏捷 软件 开发 方法 的 自然 延伸 ， 它 强调 产品 在 修改 后 到 部 署 上 线 的 流程 要 敏捷 化 、 自 动 化 。 其 至 一 些 较 小 的 改变 也 要 今 早 的 部 署 上 线 ， 这 跟 传统 软 
件 在 较 大 版 本 更 新 后 才 上 线 的 思想 不 同 。 


11.7.1 Jenkins 


Jenkins 是 一 个 得 到 广泛 应 用 的 持续 集成 和 持续 交付 的 工具 。 作 为 开源 软件 项 目 ， 它 旨 在 提供 一 个 开放 易 用 的 持续 集成 平台 。Jenkins 能 实时 监控 集成 中 存在 的 错误 ， 提 供 详细 的 日 志文 件 和 提醒 功能 ， 
并 用 图 表 的 形式 形象 地 展示 项 目 构建 的 趋势 和 稳定 性 。Jenkins 特 点 包括 安装 配置 简单 、 支 持 详细 的 测试 报表 、 分 布 式 构建 等 。 


Jenkins 


自 2.0 版 本 ，Jenkis 推 出 了 Pipeline as Code， 帮 助 Jenkins 实 现 对 Cl 和 CD 更 好 的 支持 。 通 过 Pipeline， 将 原本 独立 运行 的 多 个 任务 连接 起 来 ， 可 以 实现 十 分 复杂 的 发 布 流 程 ， 如 图 11-9 所 示 。 


Development Production 


图 11-9 Jenkins Pipeline 示 意图 


Jenkins 官 方 在 Docker Hub 上 提供 了 全 功能 的 基于 官方 发 布 版 的 Docker 镜 像 。 读 者 可 以 方便 地 使 用 docker run 指 令 一 键 部 署 Jenkins 服 务 ， 如 下 所 示 : 


$ docker run -p 8080:8080 -P 50000:50000 jenkins 


Jenkins 容 器 启动 成 功 后 ， 可 以 打开 浏览 器 访问 8080 端 口 ， 查 看 Jenkins 管 理 界面 ， 如 图 11-10 所 示 。 


€ 3 忆 | 口 19?.168.99.100:8080 


态 Jenkins 


Jenkins > 、 


和合 New ltem 


是 People Welcome to Jenkins! 
记 Buid History 


EK Manage Jenkins Please Create new jobs io get started. 


砍 Credentials 


Bulld Queue 


No builds in the queue. 


图 11-10 Jenkins 服 务 管 理 界面 


目前 运行 的 容器 中 ， 数 据 会 存储 在 工作 目录 /varVjenkins home 中， 这 包括 Jenkins 中 所 有 的 数据 ， 包 括 插件 和 配置 信息 等 。 如 果 需 要 数据 持久 化 ， 读 者 可 以 使 用 数据 卷 机 制 : 


$ docker run -p 8080:8080 -p 50000:50000 ~-v /your/home:/var/jenkins home jenkins 


以 上 指令 会 将 Jenkins 数 据 存 储 于 宿主 机 的 /your/home 目 录 (需要 确保 /your/home 目 录 对 于 容器 内 的 Jenkins 用 户 是 可 访问 的 ) 下 。 当 然 也 可 以 使 用 数据 卷 容 器 : 


$ docker run --name myjenkins -~p 8080:8080 -p 50000:50000 -v /var/jenkins home jenkins 


11.7.2 Gitlab 


Gitlab 是 一 款 非常 强大 的 开源 源码 管理 系统 。 它 支持 基于 Git 的 源码 管理 、 代 码 评审 、issue 跟 踪 、 活 动 管理 、wiki 页 面 ， 持 续集 成 和 测试 等 功能 。 基 于 Gitlab， 用 户 可 以 自己 搭建 一 套 类 似 Github 的 开发 


协同 平台 。 
| Db 


Gitlab 官 方 提供 了 社区 版 本 (Gitlab CE) 的 DockerHub 镜 像 。 读 者 可 以 直接 使 用 docker run 指 令 运行 : 


$ docker run --detach \ 

--hostname gitlab.example.com \ 

=--Publish 443:443 --publish 80:80 --publish 23:23 \ 

--name gitlab \ 

—-restart always \ 

--volume /srv/gitlab/config:/etc/gitlab \ 

—-volume /srv/gitlab/logs:/var/log/gitlab \ 

--volume /srv/gitlab/data:/var/opt/gitlab \ 

gitlab/gitlab-ce:latest 
dbae485d24492f656d2baf18526552353cd55aac662e32491046ed7fa033be3a 


成 功 运行 镜像 后 ， 读 者 可 以 打开 浏览 器 ， 访 问 Gitlab 服 务 管理 界面 ， 如 图 11-11 所 示 。 


| 192.168.99.1 00/users/passwordjedit?reset_password_token=cszvBC8LjzLxqgdunhkT 


Please createa password for your new account. 


GitLab Community Edition 


Change your password 


Open source software to collaborate on code | New password 


Manage git repositories withfine grained access controls that keep | Confirm new password 
your code secure. Perform code reviews and enhance collaboration 


with merge requests, Each project can also have an issue tracker anda 
wiki., 


Didn't receive confirmation instructions? 


Already have login and password? Sign in 


Explore Help AboutGitLab 


图 11-11 ”Gitlab 服 务 管理 界面 


11.8 本章 小 结 


本 章 首先 介绍 了 常见 的 Web 服 务工 具 ， 包 括 Apache、Nginx、Tomcat、Jetty， 以 及 大 名 易 易 的 LAMP 组 合 。 之 后 还 对 目前 流行 的 内 容 管 理 系统 、 持 续 开 发 模式 和 工具 的 快速 部 署 进行 了 讲解 。 通 过 这 
些 例子 ， 读 者 可 以 快速 入 门 Web 开 发 ， 并 再 次 体验 到 基于 容器 模式 的 开发 和 部 署 模式 的 强大 。 


笔者 认为 ， 包 括 Web 服 务 在 内 的 中 间 件 领域 十 分 适合 引入 容器 技术 ， 原 因 如 下 : 


:中间 件 服务 器 是 除数 据 库 服务 器 外 的 主要 计算 节点 ， 很 容易 成 为 性 能 瓶颈 ， 所 以 通常 需要 大 批量 部 署 ， 而 Docker 对 于 批量 部 署 有 着 许多 先天 的 优势 ; 
“中间 件 服务 器 结构 清晰 ， 在 剥离 了 配置 文件 、 日 志 、 代 码 目录 之 后 ， 容 器 几乎 可 以 处 于 零增长 状态 ， 这 使 得 容器 的 迁移 和 批量 部 署 更 加 方便 ; 


“中间 件 服务 器 很 容易 实现 集群 ， 在 使 用 硬件 的 F5、 软 件 的 Nginx 等 负载 均衡 后 ， 中 间 件 服务 器 集群 变 得 非常 容易 。 


在 实践 过 程 中 ， 读 者 需要 注意 数据 的 持久 化 。 对 于 程序 代码 、 程 序 的 资源 目录 、 日 志 、 数 据 库 文件 等 需要 实时 更 新 的 数据 一 定 要 通过 -v 参 数 映射 到 宿主 主机 的 目录 中 来 ， 避 免 发 生 数 据 丢 失 和 带 来 性 能 
下 降 。 


第 12 章 ”数据库 应 用 


目 


中 


， 主 流 数据 库 包括 关系 型 (SQL) 和 非 关系 型 (NoSQL) 两 种 。 


关系 数据 库 是 建立 在 关系 模型 基础 上 的 数据 库 ， 借 助 于 集合 代数 等 数学 概念 和 方法 来 处 理 数据 库 中 的 数据 ， 支 持 复杂 的 事物 处 理 和 结构 化 查询 。 代 表 实 现 有 MySQL、Oracle、PostGreSQL、 
MariaDB、SQLServer 等 。 


非 关 系数 据 库 是 新 兴 的 数据 库 技术 ， 它 放弃 了 传统 关系 型 数据 库 的 部 分 强 一 致 性 限制 ， 带 来 性 能 上 的 提升 ， 使 其 更 适用 于 需要 大 规模 并 行 处 理 的 场景 。 非 关系 型 数据 库 是 关系 型 数据 库 的 良好 补充 ， 代 
表 产 品 有 MongoDB、Redis、CouchDB 等 。 


本 章 选取 了 最 具 代表 性 的 Mysql、Mongodb、Redis、Memcached、CouchDB、Cassandra 等 数据 库 软件 ， 来 讲解 基于 Docker 创 建 相关 镜像 并 进行 应 用 的 过 程 。 


12.1 _ MySQL 


MySQL 是 全 球 最 流行 的 开源 的 开源 关系 数据 库 软 件 之 一 ， 因 为 其 高 性 能 、 成 熟 可 靠 和 适应 性 而 得 到 广泛 应 用 。MySQL 目 前 在 不 少 大 规模 网 站 和 应 用 中 被 使 用 ， 比 如 Facebook、Twitter 和 Yahool 
等 。 


Miy> 


使 用 官方 镜像 可 以 快速 启动 一 个 MySQL Server 实 例 ， 如 下 所 示 : 


$ docker run --name hi-mysql -e MYSQL ROOT _ PASSWORD=123 -d mysql:latest 
e6cb906570549812c798b7b3ce46d669a8a4e8ac62a3f3c8997e4c53d16301b6 


以 上 指令 中 的 hi-mysq| 是 容器 名 称 ，123 为 数据 库 的 root 密 码 。 


使 用 docker ps 指令 可 以 看 到 现在 运行 中 的 容器 : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
e6cb90657054 mysql "docker-entrypoint.sh" 4 minutes ago Up 3 minutes 3306/tcp hi-mysql 


当然 ， 还 可 以 使 用 --link 标 签 将 一 个 应 用 容器 连接 至 MySQL 容 器 : 


$ docker run --name some-app --link some-mysql:mysql -d application-that-uses-mysql 


MySQL 服 务 的 标准 端口 是 3306， 用 户 可 以 通过 CLI 工 具 对 配置 进行 修改 : 


$ docker run -it --link some-mysql:mysql --rm mysql sh -c 'exec mysql -h"SMYSQL 
PORT 3306 TCP ADDR" -P"SMYSOL PORT 3306 TCP PORT" -uroot -p"SMYSOL ENV MYSQL 
ROOT_PASSWORD™' 


官方 MySQL 镜 像 还 可 以 作为 客户 端 ， 连 接 非 Docker 或 者 远程 的 MySQL 实 例 : 


$ docker run -it --rm mysql mysql -hsome.mysql.host -usome-mysql-user -p 


1. 系 统 与 日 志 访 问 


用 户 可 以 使 用 docker exec 指 令 调用 内 部 系统 中 的 bash shell， 以 访问 容器 内 部 系统 : 


$ docker exec -it some-mysql bash 


MySQL Server 日 志 可 以 使 用 docker logs 指 令 查看 : 


$ docker logs some-mysql 


2. 使 用 自 定义 配置 文件 


如 果 用 户 希 望 使 用 自 定义 MySQL 配 置 ， 则 可 以 创建 一 个 目录 ， 内 置 cnf 配 置 文件 ， 然 后 将 其 挂 载 至 容器 的 /etc/mysql/conf.d 目 录 。 比 如 ， 


自 定义 配置 文件 为 /my/custom/config-file.cnf， 则 可 以 使 


以 下 指令 : 


$ docker run --name some-mysql -v /my/custom:/etc/mysql/conf.d -e MYSQL ROOT 


PASSWORD=my-secret-pw -d mysql:tag 


这 是 新 的 容器 Some-mysq| 启 动 后 ， 就 会 结合 使 用 /etc/mysql/my.cnf 和 /etc/mysql/conf.d/config-file.cnf 两 个 配置 文件 。 


3. 脱 离 cnf 文 件 进行 配置 


很 多 的 配置 选项 可 以 通过 标签 (flags) 传递 至 mysqld 进 程 。 这 样 用 户 就 可 以 脱离 cnf 配 置 文件 ， 对 容器 进行 弹性 的 定制 。 比 如 ， 用 户 需要 改变 默认 编码 方式 ， 将 所 有 表格 的 编码 方式 修改 为 ft8mb4， 


则 可 以 使 用 以 下 指令 : 


$ docker run --name some-mysql -e MYSQL ROOT _ PASSWORD=my-secret-pw -d mysql:tag 


--character-set-server=utf8mb4 --collation-server=utf8mb4 unicode ci 


如 果 需 要 查看 可 用 选项 的 完整 列表 ， 可 以 执行 : 


$ docker run -让 --rm mysql:tag --verbose --help 


12.2 MongoDB 


MongoDB 是 一 款 可 扩展 、 高 性 能 的 开源 文档 数据 库 ， 是 当今 最 流行 的 NoSQl 数 据 库 软件 之 一 。 它 采 上 


MongoDB 高 性 能 、 易 部 署 、 易 使 用 等 特点 ， 已 经 在 很 多 领域 都 得 到 了 广泛 的 应 用 。 


C++ 开发 ， 支 持 复杂 的 数据 类 型 和 强大 的 查询 语言 ， 提 供 了 关系 数据 库 的 绝 大 部 分 功能 。 由 于 


J mongoDDB 


12.2.1 ”使 用 官方 镜像 


可 以 使 用 docker run 指 令 直接 运行 官方 mongodb 镜 像 : 


$ docker run --name mongo-container -d mongo 
ade2b5036f457a6a2e7574fd68cf7a3298936f27280833769e93392015512735 


之 后 ， 可 以 通过 docker ps 指令 查看 正在 运行 的 mongo-container 容 器 的 容器 ID: 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 


ade2b5036f45 mongo "/entrypoint.sh mongo" 1 hours ago Up 22 hours 27017/tcp 


mongo-container 


在 此 mongo 容 器 启动 一 个 bash 进 程 ， 并 通过 mongo 指 令 启动 nongodb 交 互 命令 行 ， 再 通过 db.stats() 指 令 查看 数据 库 状态 : 


$ docker exec -it ade2b5036f45 sh 
# mongo 
MongoDB shell version: 3.2.6 
connecting to: test 
> show dbs 
local 0.000GB 
> db.stats() 
{ 
"gb" : "test", 
"collections™" : 1， 
"objects" : 


"dataSize" : 
"storageSize" : 16384, 
"numExtents" : 0, 
"indexes™" : 1, 
"indexSize" : 16384, 
Wet 


这 里 用 户 可 以 通过 env 指 令 查看 环境 变量 的 配置 : 


rooteade2b5036f45:/bjin# env 

HOSTNAME=ade2b5036f£45 

MONGO VERSION=3.2.6 
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 


GPG KEYS=DFFA3DCF326E302C4787673A01C4E7FAAAB2461C 42F3E95A2C4F08279C4960ADD 


”68FR50FERA312927 
PWD=/bin 


SHLVI=1 
HOME=/root 

MONGO MAJOR=3.2 
GOSU VERSION=1 .7 
_=/usr/bin/env 
OLDPWD=/ 


镜像 默认 暴露 了 mongodb 的 服务 端口 : 27017， 可 以 通过 该 端口 访问 服务 。 


1. 连 接 mongodb 容 器 


使 用 --link 参 数 ， 连 接 新 建 的 mongo-container 容 器 : 


$ docker run -让 --link mongo-container:db alpine sh 
/#1s 


进入 alpine 系 统 容 器 后 ， 用 户 可 以 使 用 ping 指 令 测 试 redis 容 器 的 连通 性 : 


/ # ping db 

PING db (172.17.0.5): 56 data bytes 

64 bytes from 172.17.0.5: seq=0 ttl=64 time=0.093 ms 

64 bytes from 172.17.0.5: seq=1 tt1=64 time=0.104 ms 

*C 

= 一 tb ping statistics 一 -一 

2 packets transmitted, 2 packets received, 0% packet loss 
round-trip min/avg/max = 0.093/0.098/0.104 ms 


2. 直 接 使 用 mongo cli 指 令 


如 果 想 直接 在 宿主 机 器 上 使 用 mongodb 镜 像 ， 可 以 在 docker run 指 令 后 面 加 入 entrypoint 指 令 ， 这 样 就 可 以 非常 方便 的 直接 进入 mongo cli 了 。 


$ docker run -it --link mongo-container:db --entrypoint mongo mongo --host db 
> db.version(); 

S246 

> db.stats(); 

{ 
"gb" : "test", 

"collections" : 0, 

"objects" : 


"dataSize" : 0, 
nstorageSize" : 0, 
"numExtents" : 0, 
"indexes" ; 0, 
"indexSize" : 0， 
"fileSize" : 0, 
nmGk" $s 1 

} 

> show dbs 

local 0.000GB 


最 后 ， 还 可 以 使 用 --storageEngine 人 参数 来 设置 储存 引擎 : 


$ docker run --name mongo-container -d mongo --storageEngine wiredTiger 


12.2.2 ”使 用 自 定义 Dockerfile 


首先 是 准备 工作 。 新 建 项 目 目录 ， 并 在 根 目录 新 建 Dockerfile， 内 容 如 下 : 


# 设置 从 用 户 之 前 创建 的 sshd 镜 像 继承 。 
FROM sshd 
MAINTAINER docker user (user@docker .com) 
RUN apt-get update && \ 
apt-get install -~y mongodb pwgen && \ 
apt-get clean && \ 
rm -rf /var/lib/apt/lists/* 
# 创建 mongodb 存 放 数 据 文件 的 文件 夹 
RUN mkdir -p /data/db 
VOLUME /data/db 
ENV AUTH yes 
# 添加 脚本 
ADD run.sh /run.sh 
ADD set mongodb password.sh /set mongodb password.sh 
RUN chmod 755 ./*.sh 
EXPOSE 27017 
EXPOSE 28017 
CMD ["/run.sh"] 


新 建 set_mongodb_password.sh 脚 本 。 此 脚本 主要 负责 配置 数据 库 的 用 户 名 和 密码 : 


#!/bin/bash 
# 这 个 脚本 主要 是 用 来 设置 数据 库 的 用 户 名 和 密码 。 
# 判断 是 否 已 经 设置 过 密码 。 
if [ -E /.mongodb password set ]; then 
echo "MongoDB password already set!" 
exit 0 
fi 
/usr/bin/mongod --smallfiles --nojournal & 
PASS=$ {MONGODB_PASS:-$ (pwgen -s 12 1)} 
_word=$ ( [ ${MONGODB PASS} ] && echo "preset" || echo "random" ) 
RET=1 
while [[ RET -ne 0 ]]; do 
echo "=> Waiting for confirmation of MongoDB service startup" 
sleep 5 
mongo admin --eval "help" >/dev/null 2>&1 
RET=$? 
done 
# 通过 docker logs + id 可 以 看 到 下 面 的 输出 。 
echo "=> Creating an admin user with a ${_word} password in MongoDB" 
mongo admin --eval "db.addUser({user: 'admin', pwd: '$PASS', roles: 
[ 'userAdminAnyDatabase', 'dbAdminAnyDatabase’' ]});" 
mongo admin --eval "db.shutdownServer ();" 
echo "=> Done!™ 
touch /.mongodb password set 


te Ge Oh EE " 
echo "You can now connect to this MongoDB server using 

echo "" 

echo " mongo admin -u admin -P $PASS --host <host> --port <port>" 

echo "™ 


echo "Please remember to change the above password as soon as possible!" 


echo "=—=—= 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


新 建 run.sh， 此 脚本 是 主要 的 mongodb 启 动 脚本 : 


#!/bin/bash 
if [ ! -f /.mongodb password set ]; then 
/set_mongodb password.sh 

人 
if [ "$AUTH" == "yes" ]; then 
# 这 里 读者 可 以 自己 设 定 Mongodb 的 启动 参数 。 

export mongodb="'/usr/bin/mongod --nojournal --auth --httpinterface --rest' 
else 

export mongodb="'/usr/bin/mongod --nojournal --httpinterface --rest' 
£1i 
if [ ! -f /data/db/mongod.lock ]; then 

eval $mongodb 
else 

export mongodb=$mongodb' --dbpath /data/db' 

rm /data/db/mongod.1lock 

mongod --dbpath /data/db --repair && eval $mongodb 
| 


第 二 步 ， 使 用 docker build 指 令 构建 镜像 : 


$ docker build -t mongodb-image . 


第 三 步 ， 启 动 后 台 容 器 ， 并 分 别 映射 27017 和 28017 端 口 到 本 地 : 


$ docker run -d -p 27017:27017 -p 28017:28017 mongodb 


通过 docker logs 来 查看 默认 的 admin 帐 户 密码 : 


$ docker logs sa9 


You can now connect to this MongoDB server using: 
mongo admin -u admin -p SelsT6KtjrqV --host <host> --port <port> 
Please remember to change the above password as soon as possible! 


屏幕 输出 中 的 5elsT6KtjrqV 就 是 admin 用 户 的 密码 。 


也 可 以 利用 环境 变量 在 容器 启动 时 指定 密码 : 


$ docker run -d -p 27017:27017 -~p 28017:28017 -e MONGODB_ PASS="mypass" mongodb 


甚至 ， 设 定 不 需要 密码 即 可 访问 : 


$ docker run -d -p 27017:27017 -p 28017:28017 -e AUTH=no mongodb 


同样 ， 读 者 也 可 以 使 用 -v 参 数 来 映射 本 地 目录 到 容器 。 


12.3 Redis 


Redis 是 一 个 开源 (BSD 许 可) 的 基于 内 存 的 数据 结构 存储 系统 ， 可 以 用 作 数 据 库 、 缓 存 和 消息 中 间 件 。 


Redis 使 用 ANSI C 实 现 ，2013 年 起 由 Pivotal 公 司 资助 。Redis 的 全 称 意 为 REmote Dlctionary Server。 


通过 docker run 指 令 可 以 直接 启动 一 个 redis-container 容 器 : 


$ docker run --name redis-container -d redis 
6f7d16f298e9c505f35ae28b61b4015877a5b0b75c60797fa4583429e4al4e24 


之 后 可 以 通过 docker ps 指令 查看 正在 运行 的 redis-container 容 器 的 容器 ID 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

6f7d16f298e9 redis "docker-entrypoint.sh" 32 seconds ago Up 31 seconds 6379/tcp 
redis-container 


在 此 redis 容 器 启动 bash， 并 查看 容器 的 运行 时 间 和 内 存 状况 : 


$ docker exec -it 6f7d16f298e9 bash 

root@6f7d16f298e9: /data# uptime 

12:26:19 up 20 min, 0 users, load average: 0.00, 0.04, 0.10 
root@6f7d16f298e9:/data# free 


total used free shared buffers cached 
Mem: 1020096 699280 320816 126800 50184 527260 
-/+ buffers/cache: 121836 898260 
Swap: 1181112 0 1181112 


同样 可 以 通过 env 指 令 查看 环境 变量 的 配置 : 


roote6f7dq16f298e9: /data# env 

HOSTNRAME=6f7d16f298e9 

REDIS DOWNLOAD URL=http://download.redis.io/releases/redis-3.0.7.tar.gz 
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 
PWD=/data 

SHLVL=1 

HOME=/root 

REDIS DOWNLOAD SHAl=e56b4b7e033ae8dbf311f9191cf6fdf3ae974dlc 

REDIS VERSION=3.0.7 

GOSU_VERSION=1 .7 


_=/usr/bin/env 


也 可 以 通过 ps 指令 查看 当前 容器 运行 的 进程 信息 : 


root@6f7d16f298e9:/data# ps -ef 


UID PID PPID C STIME TTY TIME CMD 

redis 二 0 012:16 ? 00:00:02 redis-server *:6379 
root 30 0 012:51 ? 00:00:00 sh 

root 3 30 0 12:52 ? 00:00:00 ps -ef 

1. 连 接 redis 容 器 


用 户 可 以 使 用 --link 参 数 ， 连 接 创建 的 redis-container 容 器 : 


$ docker run -it --link redis-container:db alpine sh 


/#1s 


进入 alpine 系 统 容器 后 ， 可 以 使 用 ping 指 令 测试 redis 容 器 : 


/ # ping db 

PING db (172.17.0.2): 56 data bytes 

64 bytes from 172.17.0.2: seq=0 tt1=64 time=0.088 ms 

64 bytes from 172.17.0.2: seq=1 ttl=64 time=0.103 ms 

-—- tb ping statistics =—= 

2 packets transmitted, 2 packets received, 0% packet loss 
round-trip min/avg/max = 0.088/0.095/0.103 ms 


还 可 以 使 用 nc 指令 ( 即 NetCat) 检测 redis 服 务 的 可 用 性 : 


/#nc db 6379 
PING 
+PONG 


官方 镜像 内 也 自 带 了 redis 客 户 端 ， 可 以 使 用 以 下 指令 直接 使 


$ docker run -让 --link redis-container:db --entrypoint redis-cli redis -h db 
db:6379> ping 

PONG 

db:6379> set 1 2 

OK 

db:6379> get 1 

nm2m 


2. 使 用 自 定义 配置 


可 以 通过 数据 卷 实现 自 定义 redis 配 置 ， 如 下 所 示 : 


$ docker run -v /myredis/conf/redis.conf:/usr/local/etc/redis/redis.conf --name 
myredis redis redis-server /usr/local/etc/redis/redis.conf 


12.4 Memcached 


Memcached 是 一 个 高 性 能 、 分 布 式 的 开源 内 存 对 象 缓存 系统 。 最 初 是 Danga Interactive 为 了 优化 LiveJournal 的 访问 速度 而 编写 的 。 目 前 已 经 非常 广泛 的 应 用 于 各 种 Web 应 用 中 。 以 BSD license 授 权 
协议 发 布 。 


Memcached 守 护 进程 基于 C 语 言 实现 ， 基 于 libevent 的 事件 处 理 可 以 实现 很 高 的 性 能 。 需 要 注意 的 是 ， 由 于 数据 仅 存 在 于 内 存 中 ， 因 此 重启 Memcached 或 重启 操作 系统 会 导致 数据 全 部 丢失 。 


可 以 直接 通过 官方 提供 的 memcached 镜 像 运行 一 个 nemcached-container 容 器 : 


$ docker run --name memcached-container -d memcached 
94e957b52be9a254954cddd23d64ba520493519al9c2e548b4e3dd7f41475b2a 


在 docker run 指 令 中 可 以 设 定 memcached server 使 用 的 内 存 大 小 : 


$ docker run --name memcached-container-2 -d memcached memcached -m 64 
bde9544643ac2a43945322c9bde76342dfc55db12875973da83408a8d239f94c 


以 上 指令 会 将 memcached server 的 内 存 使 用 量 设置 为 64MB。 


此 时 ， 用 户 可 以 在 宿主 机 器 直接 telnet 测 试 访问 memcached 容 器 ， 并 直接 输入 客户 端 命令 : 


$ telnet 192.168.99.100 11211 
Trying 192.168.99.100http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
Connected to 192.168.99.100. a 

Escape character is '^]'. 

stats 

STAT pid 1 

STAT uptime 19 

STAT time 1462972021 

STAT version 1.4.25 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
END 


CouchDB 是 一 款 面向 文档 的 NoSQL 数 据 库 ， 以 JSON 格 式 存储 数据 。 它 兼容 ACID， 可 以 用 于 存储 网 站 的 数据 与 内 容 ， 以 及 提供 缓存 等 。CouchDB 里 文档 域 (Field) 都 是 以 键 值 对 的 形式 存储 的 ， 对 数 
据 的 每 次 修改 都 会 得 到 一 个 新 的 文档 修订 号 。 


『 
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CouchDB 侧 重 于 AP (可 用 性 和 分 


区 容忍 度 ) 。 相 比 之 下 ，MongoDB 侧 重 于 CP (一 致 性 和 分 区 容忍 度 ) ，Neo4j 则 提供 了 特有 的 面向 图 形 的 结构 。 


可 以 直接 使 用 docker run 指 令 运行 官方 镜像 ， 如 下 所 示 : 


$ docker run -d --name couchdb-container couchdb 
50badad3e71da22b77bfd5522b27aa77299b649560254343d4a0c80c52a37c36 


这 个 镜像 中 CouchDB 的 默认 端口 是 5984， 用 户 可 以 使 用 link 指 令 进 行 容器 链接 : 


$ docker run --name couchdb-app --link couchdb-container:couch couchdb 


curl 指 令 ， 通 过 CouchDB APl 来 操作 CouchDB 容 器 : 


获取 容器 IP 之 后 ， 用 户 可 以 使 


$ curl http://192.168.99.100:5984 


{"couchdb" : "Welcome 
"vengdor": {"name": 


uid":"7298b57db384b931f43bbc8c49e75b53", "version":"1.6.1", 
The Apache Software Foundation","version":"1.6.1"}} 


12.6 Cassandra 


Cassandra 是 个 开源 (Apache License 2.0) 的 分 布 式 数据 库 ， 支 持 分 散 的 数据 存储 ， 可 以 实现 容错 以 及 无 单 点 故障 等 。Cassandra 在 设计 上 引入 了 P2P 技 术 ， 具备 大 规模 可 分 


Spark、Storm、Hadoop 的 集成 。 


区 行 存储 能 力 ， 并 支持 


前 Facebook、Twitter、Instagram、eBay、Github、Reddit、Netflix 等 多 家 公司 都 在 使 用 Cassandra。 类 似 工具 还 有 HBase 等 。 


cassandra 


1. 使 用 官方 镜像 


首先 可 以 使 用 docker run 指 令 基于 Cassandra 官 方 镜像 启动 容器 : 


$ docker run --name my-cassandra -d cassandra:latest 
ldde81cddc53322817f8c6e67022c501759d8d187a2de40f1a25710a5f2dfa53 


--name 标 签 指定 容器 名 称 。cassandra: tag 中 的 标签 指定 版 本 号 。 标 签名 称 可 以 参考 官方 仓库 的 标签 说 明 : https://hub.docker.com/r/library/cassandra/tags/。 


这 里 的 
为 rpc_port: 9160; CQL 默 认 本 地 服务 端口 为 


与 Cassandra 容 器 连接 起 来 。 此 应 用 容器 要 暴露 Cassandra 需 要 使 用 的 端口 (Cassandra 默 认 服 务 端 


之 后 用 户 可 以 将 另 一 个 容器 中 的 应 
native transport_port: 9042) ， 这 样 就 可 以 通过 容器 link 功 能 来 连接 Cassandra 容 器 与 应 用 容器 : 


$ docker run --name my-app --link my-cassandra:cassandra -d app-that-uses-cassandra 


2. 搭 建 Cassandra 集 群 


机 模式 下 ， 可 以 按照 上 面 描述 的 方法 启动 容器 即 可 。 如 果 需 要 启动 更 多 实例 ， 则 需要 在 指 


a 机 模式 (所 有 实例 集中 于 一 台 机 器 ) 和 多 机 模式 (实例 分 布 于 多 台 机 器 ) 。 生 


Cassandra 有 两 种 集群 模式 : 生 
令 中 配置 首 个 实例 信息 : 


$ docker run --name my-cassandra2 -d -e CASSANDRA SEEDS="5$ (docker inspect -- 
.NetworkSettings.IPAddress }}' my-cassandra)" cassandra:latest 


format="'{{ 


docker run 的 --link 标 签 来 连接 这 两 个 Cassandra 实 例 : 


了 docker inspect 指 令 ， 以 获取 首 个 实例 的 IP 地 址 信息 。 还 可 以 使 


其 中 my-cassandra 就 是 首 个 Cassandra Server 的 实例 名 称 。 在 这 里 使 


$ docker run --name my-cassandra2 -d --link my-cassandra:cassandra cassandra:latest 


-e 标 签 ) 。 假 设 第 一 台 虚拟 机 的 IP 是 10.22.22.22， 第 二 台 虚 拟 机 的 IP 是 


多 机 模式 下 ， 由 于 容器 网 络 基 于 Docker bridge， 所 以 需要 通过 环境 变量 配置 Cassandra Server 容 器 的 IP 广 播 地 址 (即使 
是 7000， 那 么 启动 第 一 台 虚 拟 机 中 的 Cassandra 容 器 时 的 指令 如 下 : 


10.23.23.23，Gossip 端 


$ docker run --name my-cassandra -qd -e CASSANDRA BROADCAST ADDRESS=10.42.42.42 
-p 7000:7000 cassandra:latest 


启动 第 二 台 庶 拟 机 的 Cassandra 容 器 时 ， 同 样 需要 暴露 Gossip 端 口 ， 并 通过 环境 变量 声明 第 一 台 Cassandra 容 器 的 IP 地 址 : 


$ docker run --name my-cassandra -d -e CASSANDRA BROADCAST ADDRESS=10.43.43.43 
-P 7000:7000 -e CASSANDRA SEEDS=10.42.42.42 cassandra:latest 


12.7 本 章 小 结 


能 快速 掌握 如 何在 生产 环境 中 部 署 和 使 用 类 


过 程 ， 包 括 MySQL、Oracle、MongoDB、Redis、Memcached、CouchDB、Cassandra 等 。 读 者 通过 本 章 内 容 ， 


本 章 讲解 了 常见 数据 库 软 件 镜像 的 使 
据 库容 器 。 


届 的 持久 化 。 


在 使 用 数据 库容 器 时 ， 建 议 将 数据 库 文件 映射 到 宿主 主机 ， 一 方面 减少 容器 文件 系统 带 来 的 性 能 损耗 ， 另 一 方面 实现 数 


阅读 本 章 需 要 对 特定 的 数据 库 的 特性 和 配置 有 一 定 的 基础 知识 ， 建 议 读 者 结合 各 个 数据 库 的 使 用 文档 进行 更 深入 的 学 习 。 


第 13 章 ”分布 式 处 理 与 大 数据 平台 


分 布 式 系统 和 大 数据 处 理 平台 是 目前 业界 关注 的 热门 技术 。 


本 章 将 重点 介绍 热门 的 消息 队列 中 间 件 RabbitMQ， 分 布 式 任务 处 理 平台 Celery， 大 数据 分 布 式 处 理 的 三 大 重量 级 武器 : Hadoop、Spark、Storm， 以 及 新 一 代 的 数据 采集 和 分 析 引 擎 Elasticsearch。 


围绕 如 何 基于 Docker 快 速 部 署 和 使 用 这 些 工具 ， 读 者 将 能 学 习 到 相关 的 操作 实践 ， 并 能 领略 分 布 式 处 理 技术 在 大 数据 领域 的 重要 用 途 。 


13.1 RabbitMQ 


RabbitMQ 是 一 个 支持 Advanced Message Queuing Protocol (AMQP) 的 开源 消息 队列 实现 ， 由 Erlang 编 写 ， 因 以 高 性 能 、 高 可 用 以 及 可 伸缩 性 出 名 。 它 支持 多 种 客户 端 ， 如 : Java、Python、 
PHP、.NET、Ruby、Javascript 等 。 它 主要 用 于 在 分 布 式 系统 中 存储 和 转发 消息 ， 方 便 组 件 之 间 的 解 耦 ， 消 息 的 发 送 者 无 需 知道 消息 使 用 者 的 存在 ， 反 之 亦 然 。 


由 RabbltMQ. 


AMQP 架 构 中 有 两 个 主要 组 件 : Exchange 和 Queue， 两 者 都 在 服务 端 ， 又 称 Broker， 由 RabbitM Q 实 现 的 。 客 户 端 通常 有 Producer 和 Consumer 两 种 类 型 ， 如 图 13-1 所 示 。 


在 使 用 RabbitM Q 过 程 中 需要 注意 的 是 ， 它 将 数据 存储 在 Node 中 ， 默 认 情况 为 hostname。 因 此 在 使 用 docker run 指 令 运行 容器 的 时 候 ， 应 该 通过 -h/--hostname 参 数 指定 每 一 个 rabbitmq daemon 
运行 的 主机 名 。 这 样 就 可 以 轻松 地 管理 和 维护 数据 了 : 


$ docker run -d --hostname my-rabbit --name some-rabbit rabbitmq:3 
3f28f6290e05375363ee661151170d37fbc89ada004c3235f02997b711b4cb2b 


Produce 


Exchanges Queues Consume 


- ww- -= + 


客户 端 服务 端 (a.k.a. Broker) 客户 病 


图 13-1 AMQP 架 构 


使 用 rabbitmqctl 工 具 进 行 远程 管理 ， 或 跨 容 器 管理 的 时 候 ， 会 需要 设置 持久 化 的 cookie。 如 果 需 要 了 解 关于 Erlang Cookie 的 信息 ， 可 以 参见 RabbitMQ 官 网 的 集群 指南 。 


这 里 可 以 使 用 RABBITMQ_ERLANG_COOKIE 参 数 进行 设置 : 


$ docker run -d --hostname my-rabbit --name some-rabbit -e RABBITMO_FRLANG 
COOKIE= ' secret cookie here' rabbitmq:3 


使 用 cookie 连 接 至 一 个 独立 的 实例 : 


$ docker run -it --rm --link some-rabbit:my-rabbit -e RABBITMO ERLANG COOKIE= 
"secret cookie here' tabbitmq:3 bash 
root@f2a2d3d27c75:/# rabbitmqctl -n rabbit@my-rabbit list users 
Listing users http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
guest [administrator] 


同样 ， 用 户 也 可 以 使 用 RABBITMQ_NODENAME 简 化 指令 : 


$ docker run -it --rm --link some-rabbit:my-rabbit -e RABBITMO ERLANG COOKIE= 
‘secret cookie here' -e RABBITMO NODENAMFE=rabbit@my-rabbit rabbitmq:3 bash 
root@f2a2d3927c75:/# rabbitmqctl list users 
Listing users http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 
guest [administrator] 


默认 情况 下 ，rabbitmq 会 安装 并 启动 一 些 管控 插件 ， 如 rabbitmq: 3-management。 通 常 可 以 通过 默认 用 户 名 密码 以 及 标准 管控 端口 15672 访 问 这 些 插件 : 


$ docker run -d --hostname my-rabbit --name some-rabbit rabbitmq:3-management 


户 可 以 通过 浏览 器 访问 http://container-ip:15672， 如 果 需 要 从 宿主 机 外 访问 ， 则 使 用 8080 端 


$ docker run -d --hostname my-rabbit --name some-rabbit -p 8080:15672 rabbitmq: 
3-management 


如 果 需 要 修改 默认 用 户 名 与 密码 (guest: guest) ， 则 可 以 使 用 RABBITMQ_DEFAULT_USER 和 RABBITMQ_DEFAULT_PASS 环 境 变量 : 


$ docker run -d --hostname my-rabbit --name some-rabbit -e RABBITMO DEFAULT_ 
USER=user -e RABBITMO DEFAULT PASS=password rabbitmq:3-management 


如 果 需 要 修改 默认 vhost， 可 以 修改 RABBITMQ_DEFAULT_VHOST 环 境 变 量 : 


$ docker run -d --hostname my-rabbit --name some-rabbit -e RABBITMO DEFAULT_ 
VHOST=my_vhost rabbitmq:3-management 


然后 连接 至 daemon: 


$ docker run --name some-app --link some-rabbit:rabbit -d application-that-uses- 
rabbitmq 


用 户 也 可 以 访问 官方 镜像 仓库 ， 并 对 Dockerfile 进 行 更 多 定制 。 


13.2 Celery 


除了 通用 的 消息 队列 外 ， 任 务 队 列 在 分 布 式 处 理 中 也 十 分 重要 。 任 务 队 列 的 输入 是 工作 的 一 个 单元 ， 称 为 任务 ， 有 多 个 工作 者 监听 队列 来 获取 任务 并 执行 。 


iG elery 


Celery 是 一 个 简单 、 灵 活 、 高 可 用 、 高 性 能 的 开源 (BSD 许 可) 分 布 式 任务 处 理 系统 ， 专 注 于 实时 处 理 的 任务 队列 管理 ， 同 时 也 支持 任务 调度 。Celery 基 于 Python 实现 ， 跟 包括 Django、Pyramid、 
Pylons、Flask、Tornado 等 Web 框 架 都 无 颖 集成 ， 有 庞大 的 用 户 与 贡献 者 社区 。Celery 可 以 单机 运行 ， 也 可 以 在 多 台 机 器 上 运行 ， 甚 至 可 以 跨越 数据 中 心 运 行 。 


1. 使 用 官方 镜像 


启动 一 个 celery worker， 即 RabbitMQ Broker: 


$ docker run --link some-rabbit:rabbit --name some-celery -d celery:latest 


检查 集群 状态 : 


$ docker run --link some-rabbit:rabbit ~-rm celery celery status 


启动 一 个 celery worker， 即 Redis Broker: 


$ docker run --link some-redis:redis -e CELERY BROKER URI=redis://redis --name 
some-celery -d celery 


检查 集群 状态 : 


$ docker run --link some-redis:redis -e CELERY BROKER URI=redis://redis --rm 
Celery celery status 


2. 使 用 Celery 库 


如 果 用 户 使 用 的 框架 已 有 Celery 库 ， 那 么 使 用 起 来 会 更 方便 。 


下 面 是 Python 中 调用 Celery 的 hello world 程 序 : 


from celery import Celery 
app = Celery('hello', broker='amqp://guest@localhost//') 
Q@app .task 
def hello() : 
return 'hello world' 


13.3 Hadoop 


作为 当今 大 数据 处 理 领域 的 经 典 分 布 式 平台 ，Apache Hadoop 主 要 基于 Java 语 言 实现 ， 由 三 个 核心 子 系统 组 成 : HDFS、YARN、MapReduce， 其 中 ，HDFS 是 一 套 分 布 式 文件 系统 ; YARN 是 资源 管 
理 系 统 ，MapReduce 是 运行 在 YARN 上 的 应 用 ， 负 责 分 布 式 处 理 管理 。 如 果 从 操作 系统 的 角度 看 ，HDFS 相 当 于 Linux 的 ext3/ext4 文 件 系统 ， 而 Yarn 相 当 于 Linux 的 进程 调度 和 内 存 分 配 模 块 。 参 见 图 13- 
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图 13-2 Apache Hadoop 生 态 系 统 


1. 使 用 官方 镜像 


可 以 通过 docker run 指 令 运行 镜像 ， 同 时 打开 bash 命 令 行 ， 如 下 所 示 : 


$ docker run -it sequenceiq/hadoop-docker:2.7.0 /etc/bootstrap.sh -bash 
bash-4.1# 


此 时 可 以 查看 各 种 配置 信息 和 执行 操作 ， 例 如 查看 namenode 日 志 等 信息 : 


bash-4.1# cat /usr/local/hadoop/lo0gs/hadoop-root-namenode-d4ele9d8f£24f.out 
ulimit -a for user root 

core file size (blocks, -c) 0 

data seg size (kbytes, -d) unlimited 
scheduling priority (-e) 0 

file size (blocks, -f) unlimited 
pending signals (-i) 7758 

max locked memory (kbytes, -1) 64 

max memory size (kbytes, -m) unlimited 
open files (-n) 1048576 

pipe size (512 bytes, -p) 8 

POSIX message queues (bytes, -q) 819200 
real-time priority (-r) 0 

stack Size (kbytes, -s) 8192 

cpu time (seconds, -t) unlimited 

max user processes (-u) unlimited 
Virtual memory (kbytes, -~v) unlimited 
file locks (-x) unlimited 


2. 安 装 验证 


需要 验证 Hadoop 环 境 是 否 安装 成 功 。 打 开 容 器 的 bash 命 令 行 环境 ， 进 入 Hadoop 目 录 : 


bash-4.1# cd $HADOOP PREFIXbash-4.1# pwd/usr/local/hadoop 


然后 通过 运行 Hadoop 内 置 的 实例 程序 来 进行 测试 : 


bash-4.1# bin/hadoop jar share/hadoop/mapreduce/hadoop-mapreduce-examples-2.7.0.jar 
grep input output 'dfs[a-z.]+' 
16/08/31 10:00:11 INFO client.RMProxy: Connecting to ResourceManager at /0.0.0.0:8032 
16/08/31 10:00:15 INFO input.FileInputFormat: Total input paths to process : 31 
16/08/31 10:00:16 INFO mapreduce.JobSubmitter: number of splits:31 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


最 后 可 以 使 用 hdfs 指 令 检 查 输出 结果 : 


bash-4.1# bin/hdfs dfs -cat output/* 


13.4 Spark 


Apache Spark 是 一 个 围绕 速度 、 易 用 性 和 复杂 分 析 构 建 的 大 数据 处 理 框架 ， 基 于 Scala 开 发 。 最 初 在 2009 年 由 加 州 大 学 伯克利 分 校 的 AMPLab 开 发 ， 并 于 2010 年 成 为 Apache 的 开源 项 目 之 一 。 


3Da 


与 Hadoop 和 Storm 等 其 他 大 数据 和 MapReduce 技 术 相 比 ，Spark 支 持 更 灵活 的 函数 定义 ， 可 以 将 应 用 处 理 速度 提 升 一 到 两 个 数量 级 ， 并 且 提供 了 众多 方便 的 实用 工具 ， 包 括 SQL 查 询 、 流 处 理 、 机 器 


学 习 和 图 处 理 等 : 


Spark 体 系 架构 包括 如 下 三 个 主要 组 件 : 数据 存储 、API、 管 理 框架 ， 如 图 13-3 所 示 。 
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图 13-3 Spark 体系 架构 


目前 Spark 推 出 了 2.0 版 本 ， 性 能 大 幅度 提升 ， 并 在 数据 流 方面 退 推出 了 很 多 新 功能 。 


13.4.1 ”使 用 官方 镜像 


管理 


用 户 可 以 使 用 sequenceiq/spark 镜 像 ， 版 本 方面 支持 Hadoop 2.6.0，Apache Spark v1.6.0 (CentOS) 。 同 时 此 镜像 还 包含 Dockerfile， 用 户 可 以 基于 它 构 建 自 定义 的 Apache Spark 镜 像 。 


用 户 使 用 docker pull 指 令 直 接 获 取 镜 像 : 


$ docker pull sequenceiq/spark:1.6.0 


1.6.0: Pulling from sequenceiq/spark 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


9q406b080497: Pull complete 


Digest: sha256:64fbddla9ffib6076362359c3895d089afc65a533c0ef021ad4ae6da3f8b2a413 


Status: Downloaded newer image for sequenceiq/spark:1.6.0 


也 可 以 使 


docker build 指 令 构 建 spark 镜 像 : 


$ docker build --rm -t sequenceiq/spark:1.6.0 . 


另外 ， 用 户 在 运行 容器 时 ， 需 要 映射 YARN UI 需要 的 端口 : 


$ docker run -让 -~p 8088:8088 -p 8042:8042 -h sandbox sequenceiq/spark:1.6.0 bash 


bash-4.1# 


bash 命 令 行 来 查看 namenode 日 志 等 信息 : 


让 


启动 后 , 可 以 使 


bash-4.1# cat /usr/local/hadoop/1lo0gs/hadoop-root-namenode-sandbox.out 


ulimit -a for user root 


core file size (blocks, -c) 0 

data seg size (kbytes, -d) unlimited 
scheduling priority (-e) 0 

file size (blocks，-f) unlimited 
pending signals (4) 7758 

max locked memory (kbytes, -1) 64 

max memory size (kbytes, -m) unlimited 
open files (-n) 1048576 


pipe size 


(512 bytes, -p) 8 


POSIX message queues (bytes, -q) 819200 

real-time priority 《(- 0 

stack size (kbytes, -s) 8192 

cpu time (seconds, -t) unlimited 

max user processes (-u) unlimited 

Virtual memory (kbytes, -v) unlimited 

file locks (-x) unlimited 
13.4.2 ”验证 


基于 YARN 部 署 Spark 系 统 时 ， 用 户 有 两 种 部 署 方式 可 选 : YARN 客 户 端 模式 和 YARN 集 群 模式 。 下 面 分 别论 述 两 种 部 署 方式 。 
1.YARN 客 户 端 模式 


在 YARN 客 户 端 模式 中 ，SparkContext (或 称 为 驱动 程序 ，driver program) 运行 在 客户 端 进 程 中 ， 应 用 的 master 仅 处 理 来 自 YARN 的 资源 管理 请 求 : 


# 运行 spark shell 

spark-shell \ 

--master yarn-client \ 

—-driver-memory 1g \ 

--executor-memory 1g \ 

-~executor-cores 1 

# 执行 以 下 指令 ， 若 返回 1000 则 符合 预期 

scala> sc.parallelize(1 to 1000) .count () 


2.YARN 集 群 模式 
在 YARN 集 群 模式 中 ，Spark driver 驱 动 程序 运行 于 应 用 master 的 进程 中 ， 即 由 YARN 从 集群 层面 进行 管理 。 下 面 ， 用 户 以 Pi 值 计 算 为 例子 ， 展 现 两 种 模式 的 


Pi 计算 (YARN 集 群 模式 ) : 


# 执行 以 下 指令 ， 成 功 后 ， 日 志 中 会 新 增 记录 "Pi is roughly 3.1418" 
# 集群 模式 下 用 户 必 须 制定 --files 参 数 ， 以 开启 metrics 
spark-submit \ 

--class org.apache.spark.examples.SparkPi \ 

-—-files $SPARK HOME/conf/metrics.properties \ 

--master yarn-cluster \ 

--driver-memory 1g \ 

--executor-memory 1g \ 

—-executor-cores 1 \ 

$SPARK HOME/1ib/spark-examples-1.6.0-hadoop2.6.0.jar 


Pi 计算 (YARN 客 户 端 模式 ) : 


# 执行 以 下 指令 ， 成 功 后 ， 命 令 行 将 显示 "Pi is roughly 3.1418" 
spark-submit \ 

--class org.apache.spark.examples.SparkPi \ 

—-master yarn-client \ 

--driver-memory 1g \ 

~-executor-memory 1g \ 

—-executor-cores 1 \ 

$SPARK HOME/1ib/spark-examples-1.6.0-hadoop2.6.0.jar 


3. 容 器 外 访问 Spark 


如 果 需 要 从 容器 外 访问 Spark 环 境 ， 则 需要 设置 YARN_CONF_DIR 环 境 变 量 。yarn-remote-client 文 件 夹 内 置 远程 访问 的 配置 信息 : 


export YARN CONF DIR=" ‘pwd /yarn-remote-client" 


只 能 使 用 根 户 从 容器 集群 外 部 ， 使 用 非 根 


户 访问 Spark 环 境 时 ， 则 需要 配置 HADOOP_USER_NAME 环 境 变量 : 


户 访问 Docker 的 HDFS 环 境 。 当 


export HADOOP USER NAME=root 


13.5 Storm 


Apache Storm 是 一 个 实时 流 计 算 框架 ， 由 Twitter 在 2014 年 正式 开源 ， 遵 循 Eclipse Public License 1.0。Storm 基 于 Clojure 等 语言 实现 。 


STORM 


区 别 在 于 Hadoop 上 运行 的 是 MapReduce 任 务 ， 在 Storm 上 运行 的 则 是 topology。MapReduce 任 务 完成 处 理 即 会 结束 ， 而 topology 则 永远 在 


Storm 集 群 与 Hadoop 集 群 在 工作 方式 上 十 分 相似 ， 唯 一 
等 待 消息 并 处 理 (直到 被 停止 ) 。 


使 用 Compose 搭 建 Storm 集 群 


利用 Docker Compose 模 板 ， 用 户 可 以 在 本 地 单机 Docker 环 境 快速 地 搭建 一 个 Apache Storm 集 群 ， 进 行 应 用 开发 测试 。 


1.Storm 示 例 架 构 


Storm 架 构 如 图 13-4 所 示 。 


Storm UI Topology 部署 


2 


Master Node 集群 调度 
Launches workers ”工作 进程 


图 13-4 Storm 示例 架构 


其 中 包含 如 下 容器 : 

“ Zookeeper: Apache Zookeeper 三 节点 部 署 。 

* Nimbus: Storm Nimbus。 

“ Ui: Storm UI 

“ Supervisor: Storm Supervisor (一 个 或 多 个 ) 。 

“Topology: Topology 部 署 工 具 ， 其 中 示例 应 用 基于 官方 示例 storm-starter 代 码 构 建 。 
2. 本 地 开发 测试 


首先 从 Github 下 载 需要 的 代码 : 


$ git clone https://github.com/denverdino/docker-storm.git 
$ cd docker-swarm/local 


代码 库 中 的 docker-compose.ym| 文 件 描述 了 典型 的 Storm 应 用 架构 。 


户 可 以 直接 运行 下 列 命令 构建 测试 镜像 : 


$ docker-compose build 


现在 可 以 用 下 面 的 命令 来 一 键 部 署 一 个 Storm 应 用 : 


$ docker-compose up -d 


当 UI 容 器 启动 后 ， 用 户 可 以 访问 容器 的 8080 端 口 来 打开 操作 界面 ， 如 图 13-5 所 示 。 


自 192.168.99.100:8080/index.html 


Storm UI 


Cluster Summary 
Version Supervisors 
1 


Nimbus Summary 


Port 
localhost 6627 
6627 


nimbus 


Showing 1 to 2 of 2 entries 


Topology Summary 
searc [ |] 
Owner 4 Status 和 $ Uptime 和 Num workers 9 Numexecutors “ Numtasks 9 Replication count 。 Assigned Mem (MB) “ Schedulerinfo 。 
No data available in table 


Showing 0 to 0 of 0 entries 


Supervisor Summary 
search:[ | 
Hd Host 多 Uptime $ Siots 《Used siots Used Mem (MB) 多 Version $ 


4b28960f-b8e0-415f-87d8-14459613a692 35afe8dacdb9 6s 4 0 0 1.0.0 


Showing 1 to 1 of 1 entries 


13-5 Storm UI 


利用 如 下 命令 ， 可 以 伸缩 supervisor 的 数量 ， 比 如 伸缩 到 3 个 实例 : 


$ docker-compose scale supervisor=3 


用 户 也 许 会 发 现 Web 界 面 中 并 没有 运行 中 的 topology。 这 是 因为 Docker Compose 目 前 只 能 保证 容器 的 启动 顺序 ， 但 是 无 法 确保 所 依赖 容器 中 的 应 用 已 经 完全 启动 并 可 以 被 正常 访问 了 。 


为 了 解决 这 个 问题 ， 需 要 运行 下 面 的 命令 来 再 次 启动 topolgoy 服 务 应 用 来 提交 更 新 的 拓扑 : 


$ docker-compose start topology 


稍 后 刷新 Storm Ul， 可 以 发 现 Storm 应 用 已 经 部 署 成 功 了 。 


13.6 Elasticsearch 


Elasticsearch 是 一 个 基于 Lucene 的 开源 搜索 服务 器 ， 主 要 基于 Java 实 现 。 它 提供 了 一 个 分 布 式 的 ， 多 租户 的 全 文 搜索 引擎 ， 内 含 RESTful web 接 口 。 


9 elasticsearch. 


Elasticsearch 提 供 了 实时 的 分 布 式 数据 存储 和 分 析 查 询 功能 ， 很 容易 扩展 到 上 百 台 服务 器 ,支持 处 理 PB 级 结构 化 或 非 结构 化 数据 。 配 合 Logstash、Kibana 等 组 件 ， 可 以 快速 构建 一 套 对 日 志 消 息 的 分 


析 平 台 。 


可 以 使 用 官方 镜像 ， 快 速 运行 Elasticsearch 容 器 : 


$ docker run -d elasticsearch 
937clcb21b39a322ab6c5697e31laf22a5329f08408d40f64e27465fed6597e34 


也 可 以 在 启动 时 传 入 一 些 额外 的 配置 参数 : 


$ docker run -d elasticsearch elasticsearch -Des.node.name="TestNode" 
2c0ae96f73ca01779c60f7c6103481696c34c510266f5c503610a2640dc6f50a 


目前 使 用 的 镜像 内 含 默认 配置 文件 ， 包 含 了 预先 定义 好 的 默认 配置 。 如 果 用 户 要 使 用 自 定义 配 


， 可 以 使 


数据 卷 ， 挂 载 自 定义 配置 文件 至 /usr/share/elasticsearch/config: 


$ docker run -d -v "$PWD/config":/usr/share/elasticsearch/config elasticsearch 
43333bfdbbfe156512ba9786577ca807c676f9a767353222c106453020ac7020 


如 果 需 要 数据 持久 化 ， 可 以 使 用 数据 卷 指令 ， 挂 载 至 /usr/share/elasticsearch/data: 


$ docker run -d -v "$PWD/esdata":/usr/share/elasticsearch/data elasticsearch 
3feddf6a8454534b209b32df06c2d65022d772a8£f511593371218f6bd064e80e 


此 镜像 会 暴露 9200 9300 两 个 默认 的 HTTP 端 口 ， 可 以 通过 此 端口 进行 服务 访问 。9200 端 口 是 对 外 提供 服务 的 API 使 用 的 端口 。9300 端 口 是 内 部 通信 端口 ， 这 些 通信 和 包括 心跳 ， 集 群 内 部 信息 同步 。 


13.7 本 章 小 结 


本 章 介绍 了 分 布 式 处 理 与 大 数据 处 理 领域 的 典型 热门 工具 ， 包 括 Rabbitmq、Celery、Hadoop、Spark、Storm 和 Elasticsearch 等 。 这 些 开源 项 目的 出 现 ， 极 大 降低 了 开发 者 进行 分 布 式 处 理 和 数据 分 


析 的 门槛 。 


实际 上 ， 摩 尔 定律 的 失效 ， 必 将 导致 越 来 越 多 的 复杂 任务 必须 采用 分 布 式 架构 进行 处 理 。 在 新 的 架构 和 平台 下 ， 如 何 实现 高 性 能 、 高 可 用 性 ， 如 何 让 应 用 容易 开发 、 方 便 调 试 ， 都 是 十 分 复杂 的 问题 。 
已 有 的 开源 平台 项 目 提供 了 很 好 的 实现 参考 ， 方 便 用 户 将 更 多 的 精力 放 到 核心 业务 的 维护 上 。 通 过 基于 容器 的 部 署 和 使 用 ， 极 大 简化 了 对 如 此 复杂 系统 的 使 用 和 维护 。 


Proxy Error 


The proxy server received an invalid response fiom an upstream server. 
The proxy server could not handle the request GET /resource/readBook. 


Reason: Error reading from remote server 


14.1 C/C++ 


C 是 一 门 十 老 的 语言 ， 在 1969 年 由 贝尔 实验 室 设 计 开 发 ， 今 天 仍然 是 系统 领域 和 高 性 能 计算 的 主要 选择 。 (语言 具有 高 效 、 灵 活 、 功 能 丰富 、 表 达 力 强 和 较 高 的 可 移植 性 等 特点 。C++ 在 C 的 基础 上 ， 支 
持 了 数据 的 抽象 与 封装 、 面 向 对 象 和 泛 型 编程 。 功 能 与 性 能 的 平衡 使 C++ 成 为 了 目前 应 用 最 广泛 的 系统 编程 语言 之 一 。 


本 节 将 介绍 三 款 流行 的 C/C+ + 开发 工具 ，GCC、LLVM 和 Clang。 


为 是 跨 平台 编译 器 的 事实 标准 。 


GCC (GNU Compiler Collection) 是 一 套 由 GNU 开 发 的 编程 语言 编译 器 ， 是 一 套 以 GPL 及 LGPL 许 可 证 所 发 行 的 自由 软件 ， 也 是 GNU 计 划 的 关键 部 分 。GCC (特别 是 其 中 的 C 语 言 编译 器 ) 通常 被 认 


GCC 可 处 理 C/C++， 以 及 Fortran、Pascal、Objective-C、Java、Ada 等 多 种 语言 。 


将 C/C++ 代 码 运行 在 容器 内 的 最 简 方法 ， 就 是 将 编译 指令 写 入 Dockerfile 中 ， 然 后 使 用 此 Dockerfile 构 建 自 定义 镜像 ， 最 后 直接 运行 此 镜像 ， 即 可 启动 程序 。 


FROM gcc:4.9 

COPY . /usr/src/myapp 
WORKDIR /usr/src/myapp 
RUN gcc -o myapp main.c 
CMD ["./myapp"] 


编辑 main.c， 内 容 如 下 : 


#include<stdio.h> 

int main() 

{ 
printf ("Hello World\n"); 
return 0; 


} 


现在 ， 就 可 以 使 用 Dockerfile 来 构建 镜像 my-gcc-app: 


$ docker build -t gcc-image . 


创建 并 运行 此 容器 ， 会 编译 并 运行 程序 ， 输 出 Hello World 语 句 。 


$ docker run -让 --rm --name gcc-container gcc-image 
Hello World 


如 果 只 需要 容器 编译 程序 ， 而 不 需要 运行 它 ， 可 以 使 用 如 下 命令 : 


$ docker run --rm -V "$ (pwd)":/usr/src/myapp -w /usr/src/myapp gcc gcc -o myapp main.c 


以 上 命令 会 将 当前 目录 ("$(pwd)") 挂 载 到 容器 的 /usr/src/myapp 目 录 ， 并 执行 gcc-o myapp myapp.c。GCC 将 会 编译 myapp.c 代 码 ， 并 将 生成 的 可 执行 文件 输出 至 /usr/src/myapp 文 件 夹 。 
14.1.2 LLVM 
LLVM (Low Level Virtual Machine) 是 伊利 诺 伊 大 学 的 一 个 研究 项 目 ， 试 图 提供 一 个 现代 化 的 ， 基 于 SSA 的 编译 策略 ， 同 时 支持 静态 和 动态 编程 语言 。 和 之 前 为 大 家 所 熟知 的 JVM 以 及 .net Runtime 


这 样 的 虚拟 机 不 同 ， 这 个 虚拟 系统 提供 了 一 套 中 立 的 中 间 代 码 和 编译 基础 设施 ， 并 围绕 这 些 设施 提供 了 一 套 全 新 的 编译 策略 (使 得 优化 能 够 在 编译 、 连 接 、 运 行 环境 执行 过 程 中 ， 以 及 安装 之 后 以 有 效 的 方 
式 进行 ) 和 其 他 一 些 非常 有 意思 的 功能 。 


Docker Hub 中 已 经 有 用 户 提供 了 LLVM 镜 像 ， 读 者 可 以 直接 下 载 使 用 ， 不 再 玲 述 。 


$ docker pull imiell/llvm 


14.1.3 Clang 


Clang 是 一 个 由 Apple 公 司 用 C++ 实 现 、 基 于 LLVM 的 C/C++/Objective C/Objective C++ 编 译 器 ， 其 目标 就 是 超越 GCC 成 为 标准 的 C/C++ 编译 器 ， 它 遵循 LLVM BSD 许 可 。Clang 很 好 地 兼容 了 
GCC。 


Clang 特 性 包括 : 
: 快 : 在 OSX 上 的 测试 中 ，Clang 比 GCC 4.0 快 2.5 倍 。 
“内存 占 用 小 : Clang 内 存 占 用 一 般 比 GCC 要 小 的 多 。 
: 诊断 信息 可 读 性 强 : Clang 对 于 错误 的 语法 不 但 有 源码 提示 ， 还 会 在 错误 的 调用 和 相关 上 下 文 上 有 更 好 的 提示 。 


“ 基于 库 的 模块 化 设计 : Clang 将 编译 过 程 分 成 彼此 分 离 的 几 个 阶段 ， 将 大 大 增强 IDE 对 于 代码 的 操控 能 力 。 


在 Docker Hub 中 已 经 有 用 户 提供 了 Clang 的 镜像 ， 读 者 可 以 直接 下 载 使 用 : 


$ docker pull bowery/clang 


14.2 Java 


Java 是 一 种 拥有 跨 平台 、 面 向 对 象 、 泛 型 编程 特点 的 编译 型 语言 ， 广 泛 应 用 于 企业 级 应 用 开发 和 移动 应 用 开发 领域 ， 由 SUN 公 司 在 1995 年 推出 。Java 是 基于 类 的 面向 对 象 的 高 级 语言 ， 其 设计 理念 是 尽 
的 减少 部 署 依赖 ， 致 力 于 “开发 一 次 ， 到 处 运行 ”。 这 就 意味 着 Java 的 二 进 制 编码 不 需要 再 次 编译 ， 即 可 运行 在 异 构 的 JVM 上 。Java 在 大 型 互联 网 项 目 ， 特 别 是 互联 网 金融 和 电子 商务 项 目 中 非常 受 欢 


迎 。 


二 


— 


在 容器 中 运行 Java 代 码 最 简单 的 方法 就 是 将 Java 编 译 指令 直接 写 入 Dockerfile。 然 后 使 用 此 Dockerfile 构 建 并 运行 此 镜像 ， 即 可 启动 程序 。 


在 本 地 新 建 一 个 空 目录 ， 在 其 中 创建 Dockerfile 文 件 。 在 Dockerfile 中 ， 加 入 需要 执行 的 Java 编 译 命令 ， 例 如 : 


FROM java:7 

COPY . /usr/src/javaapp 
WORKDIR /usr/src/javaapp 
RUN javac HelloWorld.java 
CMD ["java", "HelloWorld"] 


使 用 此 Dockerfile 构 建 镜像 java-image: 


$ docker build -t java-image . 


然后 ， 运 行 此 镜像 即 自动 编译 程序 并 执行 : 


$ docker run -it --rm --name java-container java-image 
Hello, World 


如 果 只 需要 在 容器 中 编译 Java 程 序 ， 而 不 需要 运行 ， 则 可 以 使 用 如 下 命令 : 


$ docker run --rm -v "$ (pwd)":/usr/src/javaapp -w /usr/src/javaapp java:7 javac 
HelloWorld.java 


14.3 Python 


Python 是 一 种 解释 型 的 动态 语言 ， 面 向 对 象 设 计 ， 功 能 十 分 强大 。 它 集成 了 模块 (modules) 、 异 常 处 理 (exceptions) 、 动 态 类 型 (dynamic typing) 、 高 级 数据 结构 (元 组 、 列 表 、 序 列 ) 、 类 
(classes) 等 高 级 特性 。Python 设 计 精良 ， 语 法 简约 ， 表 达能 力 很 强 。 目 前 ， 所 有 主流 操作 系统 (Windows、 所 有 Linux、 类 Unix 系 统 ) 都 支持 Python。 


下 面 ， 笔 者 将 带领 大 家 使 用 Docker 部 署 Python 环 境 ， 以 及 部 署 Python 技 术 栈 中 的 主流 框架 。 


14.3.1 使 用 官方 的 Python 镜像 


推荐 用 户 使 用 Docker 官 方 提供 的 Python 镜像 作为 基础 镜像 。 


首先 ， 新 建 项 目 目录 py-official， 进 入 此 目录 ， 新 建 一 个 Dockerfile 文 件 ， 内 容 如 下 : 


FROM Python:3-onbuild 
CMD [ “python3.5", "./py3-sample.py" ] 


新 建 py3-sample.py 文 件 ， 计 算 Fibonacci 数 列 : 


def fib (n) : 


print (a, end=' ') 
ay b= b, atb 
print () 
fib (1000) 


新 建 requirements.txt 依 赖 文件 ， 读 者 可 以 在 此 文件 中 加 入 项 目 依赖 程序 ， 如 Django 等 。 此 处 仅 新 建 空 文件 。 


$ touch requirements.txt 


第 二 步 ， 使 用 docker build 命 令 构 建 名 为 py2.7-sample-app 的 镜像 : 


$ docker build -t py3-image . 


第 三 步 ， 通 过 docker run 命 令 创 建 并 运行 容 


$ docker run -it --rm --name py3-container py3-image 
01123581321 3455 89 144 233 377 610 987 


如 果 读 者 只 需要 运行 单个 Python 脚本 ， 那 么 无 需 使 用 Dockerfile 构 建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Python 镜像 ， 带 参数 运行 容器 : 


$ docker run -it --rm --name my-running-script -V "$(Ppwd)":/usr/srcVmyapP -w 
/usr/src/myapp python:3 python your-daemon-or-script.py 


14.3.2 ”使 用 PyPy 
同时 保证 兼容 性 。 


PyPy 是 一 个 Python 实现 的 Python 解释 器 和 即时 编译 (JIT) 工具 ， 它 专注 与 速度 、 效 率 ， 以 及 和 CPython 完 全 的 兼容 性 。PyPy 通 过 川 技术 可 以 使 得 Python 运 行 速度 提高 近 十 倍 ， 


首先 ,设置 项 目 目录 ， 并 新 建 hi.py 实 例 程 序 : 


for animal in ["dog" 1 "Cat", "mouse"] : 


print "%s is a mammal" % animal 


然后 ， 在 根 目录 新 建 Dockerfile， 基 于 pypy3 的 onbuild 版 本 镜像 : 


FROM pypy:3-onbuild 
CMD [ "pypy3", "./hi.py" ] 


如 果 用 户 需要 使 用 pypy2， 则 可 以 使 用 : FROM pypy:2-onbuild。 
onbuild 版 本 的 镜像 内 含 若干 onbuild 触 发 器 ， 它 们 可 以 再 镜像 构建 期 间 完成 一 些 必要 的 初始 化 操作 ， 便 于 项 目的 直接 运行 。pypy 的 onbuild 镜 像 会 拷贝 一 个 requirements.txt 依 赖 文件 ， 运 行 RUN pip 


install 安 装 依赖 程序 ， 然 后 将 当前 目录 拷贝 至 /usr/src/app。 


下 面 ， 用 户 开始 构建 和 运行 此 镜像 : 


$ docker build -t my-python-app . 
$ docker run -让 --rm --name my-running-app my-python-app 


如 果 用 户 只 需要 运行 单个 pypy 脚 本 ， 并 希望 避免 新 建 Dockerfile， 那 么 用 户 可 以 直接 使 用 以 下 指令 : 


$ docker run -it --rm --name my-running-script -V "$PWD":/usr/src/myapp -w 
/usr/src/myapp PYPY:3 pypy3 your-daemon-or-script.py 


如 果 需 要 使 用 pypy2 运 行 ， 则 可 以 使 用 如 下 指令 : 


$ docker run -it --zm --name my-running-script -V "$PWD":/usr/src/myapp -w 
/usr/src/myapp PyPY:2 pypy your-daemon-or-script.py 


14.4 JavaScript 


JavaScript 是 目前 所 有 主流 浏览 器 上 唯一 支持 的 脚本 语言 ， 这 也 是 早期 javaScript 的 唯一 用 途 。Node.js 的 出 现 ， 让 服务 端 应 用 也 可 以 基于 JavaScript 进 行 编写 。 


Nodejs 自 2009 年 发 布 ， 使 用 Google Chrome 浏 览 器 的 V8 引 敬 ， 采 用 事件 驱动 ， 性 能 优异 。 同 时 还 提供 了 很 多 系统 级 AP1， 如 文件 操作 、 网 络 编程 等 。 


下 面 ， 笔 者 将 简 述 如 何 使 用 Docker 搭 建 和 使 用 Node.js 环 境 。 


使 用 Nodejs 环 境 


Node.js 拥 有 3 种 官方 镜像 : node: <version>、node: onbuild、node: slim。 


其 中 常用 的 是 带 有 版 本 标签 的 ， 以 及 带 有 onbuild 标 签 的 node 镜 像 。 


首先 ， 在 Node.js 项 目 中 新 建 一 个 Dockerfile: 


FROM node:4-onbuild 
EXPOSE 8888 


然后 ， 新 建 serverjs 文 件 ， 内 容 如 下 : 


1use strict'; 

Var connect = require('connect'); 

Var serveStatic = require('serve-static'); 

Var app = connect (); 

app.use('/', serveStatic('.', {'index': ['index.html']})); 
app.listen (8080); 

console.1log('MyApp is ready at http://localhost:8080'); 


之 后 ， 通 过 npm init 命 令 来 新 建 node 项 目 所 必须 的 package.json 文 件 : 


$ npm init 

This utility will walk you through creating a package.json file. 
It only covers the most common items, and tries to guess sensible defaults. 
See ‘npm help json ”for definitive documentation on these fields 
and exactly what they do. 

Use ‘npm install <pkg> --save ”afterwards to install a package and 
save it as a dependency in the package.json file. 

Press ^C at any time to quit. 

name: (node) node 

version: (1.0.0) 

description: node-sample 

entry point: (index.js) 

test command: 

git repository: 

keywords: 

author: 

license: (ISC) 

About to write to /Users/faxi/Docker/js/node/package.json: 

{ 


"name": "node", 
"yersiornms "1 QO0", 
"description": "node-sample", 
"main":; "index.js", 
"eeripte"s 1{ 
"test": "echo \"Error; no test specified\" && exit 1" 
] 
"author" 
"license" 


} 
Is this ok? (yes) yes 


下 面 使 用 docker build 指 令 构 建 node 镜 像 : 


$ docker build -t node-image . 


最 后 ， 创 建 并 运行 node 容 器 : 


$ docker run -让 -P node-image 

npm info it worked if it ends with ok 
npm info using npm@2.15.1 

npm info using node@v4.4.3 

npm info prestart node@1.0.0 

npm info start node@1.0.0 

> node@1.0.0 start /usr/src/app 

> node server.js 

MyApp is ready at http://localhost:8080 


此 时 可 以 使 用 浏览 器 查看 到 MyApp 应 用 的 服务 页 面 。 


首先 ， 使 用 docker ps 指令 查看 端口 绑 定 情况 : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 


NAMES 
7b6f666d4808 node-image "npm start" xxxago Up xx 0.0.0.0:32771->8888/tcp 
node-container 


如 果 只 需要 运行 单个 hode 脚 本 的 容器 ， 则 无 需 通过 Dockerfile 构 建 镜像 ， 可 以 使 用 以 下 指令 : 


$ docker run -让 --rm --name my-running-script -V "$ (pwd)":/usr/src/myapp -w 
/usr/src/myapp node:0.10 node your-daemon-or-script.js 


读者 也 可 以 参考 node 官 方 提供 的 最 佳 实践 : https://github.com/nodejs/docker-node/blob/master/docs/BestPractices.md。 


14.5 Go 


Go 语言 (也 称 Golang) 是 一 个 由 Google 主 导 研 发 的 编程 语言 ， 于 2009 年 推出 。 它 的 语法 清晰 明了 ， 设 计 精良 ,拥有 一 些 先进 的 特性 ， 还 有 一 个 庞大 的 标准 库 。Go 的 基本 设计 理念 是 : 编译 效率 、 运 
行 效率 和 开发 效率 要 三 者 兼顾 。 使 用 Go 开发 ， 既 可 以 得 到 很 多 灵活 的 语法 支持 ， 又 可 以 拥有 C/C++ 的 运行 和 编译 效率 。 此 外 ，Go 提 供 了 轻 量 级 的 协 程 ， 支 持 大 规模 并 发 的 场景 。 


14.5.1 ”搭建 并 运行 Go 容器 


1. 使 用 官方 镜像 


运行 Go 语言 环境 的 最 简 方 法 是 使 用 官方 golang 镜 像 。 可 以 使 用 docker run 指 令 直 接 启动 Go 语言 的 交互 环境 : 


$ docker run -it golang /bin/bash 
root@79afc2b64b06:/go# go versiongo version gol.7 linux/amd64 


还 可 以 将 Go 编译 指令 写 入 Dockerfile 中 ， 基 于 此 Dockerfile 构 建 自 定义 镜像 。 具 体 步骤 如 下 。 


第 一 步 ， 新 建 项 目 文件 夹 ， 并 在 根 目录 新 建 Dockerfile: 


FROM golang:1.6-onbuild # 显示 声明 基础 镜像 版 本 ， 利 于 后 期 维护 。 

onbuilgd 版 本 Dockerfile 的 具体 内 容 如 下 : 

FROM golang:1.6 

RUN mkdir -p /go/src/app 

WORKDIR /go/src/app 

CMD ["go-wrapper", "run"] # 通过 `go-wrapper 程序 执 行当 前 目录 下 的 主 函 数 

ONBUILD COPY . /go/src/app # 拷贝 当前 项 目 代 码 至 运行 目录 

ONBUILD RUN go-wrapper download # 下 载 依赖 ， 具 体 实现 参考 "go-wrapper 源码 

ONBUILD RUN go-wrapper install # 安装 依赖 ,具体 实现 参考 `go-wrapper 源码 

# “go-wrapper 源码 地 址 : `https://github.com/docker-library/golang/blob/master/go- 
wrapper 

# Dockerfile 源 码 地 址 : `https://github.com/docker-library/golang/blob/master/1.6/ 
onbuild/Dockerfile™ 


第 二 步 ， 新 建 自 定义 go 程序 go-sample.go: 


package main 
import "fmt" 
func main() { 
fmt .Println ("Hello, 世界 ") 
i 


第 三 步 ， 使 用 docker build 指 令 构建 镜像 : 


$ docker build -t golang-image . 


最 后 ， 使 用 docker run 指 令 运行 Go 容器 : 


$ docker run -it --rm --name golang-container golang-image 
+ exec app 
Hello, 世界 


至 此 成 功 运行 了 Go 语言 的 实例 容器 。 如 果 需 要 在 容器 中 编译 Go 代码 ， 但 是 不 需要 在 容器 中 运行 它 ， 那 么 可 以 执行 如 下 命令 : 


$ docker run --rm -V "$ (pwd)":/usr/src/myapp -w /usr/src/myapp golang go build -v 
_/usr/src/myapp 


这 会 将 Go 项 目 文件 夹 作为 Docker 数 据 卷 挂 载 起 来 并 作为 运行 目录 。 然 后 ，Docker 会 在 工作 目录 中 编译 代码 ， 执 行 go build 命 令 并 输出 可 执行 文件 至 myapp。 


2.Go 项 目 容器 化 


首先 ， 下 载 Golang 官 方 提供 的 outyet 示 例 项 目 : 


mkdir outyet 

cd outyet 

使 用 go get 下 载 : 

go get github.com/golang/example/outyet 

或 者 直接 使 用 wget 下 载 : 

wget https://github.com/golang/example/archive/master.zip 
unzip master.zip 

cd example-master/outyet 

ls 

Dockerfile containers.yaml main.go main test.go 


WD 间 访 井 芒 入 


示例 项 目 搭建 成 功 后 ， 可 以 按照 以 下 模板 去 自 定义 项 目的 Dockerfile: 


# 使 用 golang 基 础 镜像 。 基 于 Debian 系 统 ， 安 装 最 新 版 本 的 golang 环 境 。 工 作 空 间 (GOPATH) 
配置 是 "/go" 

FROM golang 

# 将 本 地 的 包 文件 拷贝 至 容器 工作 目录 。 

ADD . /go/src/github.com/golang/example/my-go 

# 在 容器 中 构建 my-go。 可 以 在 这 里 手动 或 者 自动 (godep) 管理 依赖 关系 。 

RUN go install github.com/golang/example/my-go 

# 设 定 容器 自动 运行 ny-go。 

ENTRYPOINT /go/bin/my-go-app 

# 监听 8080 端 口 。 

EXPOSE 8080 


如 果 使 用 onbuild 版 本 的 基础 镜像 ， 那 么 源 文件 拷贝 、 构 建 与 配置 等 过 程 就 会 自动 完成 ， 无 需 在 Dockerfile 中 逐一 配置 ， 如 下 所 示 : 


FROM golang:onbuild 
EXPOSE 8080 


下 面 开始 构建 与 运行 此 Golang 项 目 。 在 outyet 项 目 根 目录 执行 docker build 指 令 ， 使 用 本 地 目录 下 的 Dockerfile: 


$ docker build -t outyet . 


构建 过 程 中 ，Docker 会 从 Docker Hub 中 获取 golang 基 础 镜像 ， 拷 贝 本 地 包 文件 ， 构 建 项 目 并 给 镜像 打上 outyet 标 签 。 下 面 ， 使 用 docker run 指 令 运 行 此 镜像 : 


$ docker run -p 6060:8080 --name test --rm outyet 


此 时 ， 实 例 项 目的 容器 已 经 在 运行 状态 。 打 开 浏 览 器 访问 http://localhost:6060/ 即 可 看 到 运行 界面 。 


14.5.2 Beego 


Beego 是 一 个 使 用 Go 的 思维 来 帮助 开发 者 构建 并 开发 Go 应 用 程序 的 开源 框架 。Beego 使 用 Go 开发 ， 思 路 来 自 于 Tornado， 路 由 设计 来 源 于 Sinatra。 使 用 方法 如 下 。 


BEE6Cy 


第 一 步 ， 下 载 安 装 : 


go get github.com/astaxie/beego 


第 二 步 ， 创 建文 件 hello.go: 


package main 
import "github .com/astaxie/beego" 
func main() { 

beego.Run () 


第 三 步 ， 编 译 运行 : 


go build -o hello hello.go 
./hello 


第 四 步 ， 打 开 浏 览 器 并 访问 http://localhost:8080。 


至 此 ,一 个 Beego 项 目 成 功 构建 了 。 


14.5.3 ”Gogs: 基于 Go 的 Git 服 务 


Gogs 的 目标 是 打造 一 个 最 简单 、 轻 松 的 方式 搭建 自助 Git 服 务 。 使 用 Go 语言 开发 使 得 Gogs 能 够 通过 独立 的 二 进 制 分 发 ， 并 且 支 持 Go 语 言 支持 的 所 有 平台 ， 包 括 Linux、Mac OS X、Windows 以 及 


ARM 平 台 。 


(Cogs 


A painless self-hosted Git service. 


可 以 使 用 docker run 直 接 创建 并 运行 镜像 ; 


$ docker run --rm --name gogs gogs/gogs 


如 果 需 要 停止 此 镜像 ， 可 以 使 用 docker stop 与 docker rm 指令 : 


$ docker stop gogs; docker rm gogs 


如 果 需 要 将 数据 持久 化 ， 可 以 先 新 建 数据 文件 夹 ， 然 后 将 其 作为 数据 卷 挂 载 至 gogs 容 器 中 : 


$ mkdir -p /srv/lxc/gogs/data 
$ docker run -d --name gogs \ -p 8300:3000 -p 8322:22 -v /srv/lxc/gogs/data: 
/data gogs/gogs 


14.6 PHP 


。 语 法 吸收 了 C、Java 和 Perl 等 语言 的 特点 ， 利 于 学 习 ， 使 用 广泛 ， 主 要 适用 于 Web 开 发 领域 。PHP 执 行 效率 比 完全 生 


D 


PHP (Hypertext Preprocessor， 超 文本 预 处 理 器 ) 是 一 种 通用 的 开源 脚本 语 


成 HTML 标 记 的 CGI 要 高 许多 ; PHP 还 可 以 执行 编译 后 代码 ， 编 译 可 以 达到 加 密 和 优化 代码 运行 ， 使 代码 运行 更 快 。 


1. 使 用 官方 镜像 


第 一 步 ， 在 PHP 项 目的 根 目录 中 新 建 一 个 Dockerfile: 


FROM php:5.6-cli 

COPY . /usr/src/myapp 
WORKDIR /usr/src/myapp 

CMD [ "php", "./hello.php" ] 


新 建 hello.php 文 件 : 


<?2php 
echo "hello php\n" 
2> 


第 二 步 ， 运 行 docker build 命 令 构 建 镜像 : 


$ docker build -t php-image . 


最 后 ,执行 以 下 命令 去 运行 Docker 镜 像 : 


$ docker run -让 --rm --name php-container php-image 
hello php 


2. 挂 载 PHP 项 目 


如 果 读 者 需要 运行 简单 的 ， 甚 至 单 文件 的 PHP 项 目 ， 那 么 每 次 都 写 Dockerfile 会 很 麻烦 。 这 种 情况 下 ， 可 以 用 以 下 命令 挂 载 PHP 项 


$ docker run -让 --rm --name my-running-script -V "$ (pwd)":/usr/src/myapp -w 
/usr/src/myapp php:5.6-cli php your-script.php 


3. 配 合 Apache 使 用 


通常 情况 下 ，PHP 项 目 需要 和 Apache httpd/Nginx 一 起 运行 ， 这 样 就 需要 PHP 容 器 中 内 含 Apache Web Server。 读 者 可 以 使 用 带 有 apache 标 签 的 镜像 ， 如 php: 5.6-apache。 


第 一 步 ， 在 读者 的 PHP 项 目的 根 目录 中 新 建 一 个 Dockerfile， 并 使 用 Docker Hub 官 方 的 基础 镜像 : 


FROM php:5.6-apache 
COPY src/ /var/www/html/ 


其 中 ，src/ 是 当前 包含 所 有 PHP 代 码 的 目录 。 


第 二 步 ， 使 用 此 Dockerfile 构 建 自 定义 镜像 : 


$ docker build -t my-php-app . 


第 三 步 ， 创 建 并 运行 此 镜像 : 


$ docker run -it --rm --name my-running-app my-php-app 


笔者 建议 添 一 个 自 定义 的 php.ini 配 置 文件 ， 将 其 拷贝 到 /usr/local/lib。 这 样 读者 可 以 对 PHP 项 目 做 更 多 的 定制 化 ， 如 开启 某 些 PHP 插 件 ， 或 者 对 PHP 解 释 器 进行 一 些 安全 /性 能 相关 的 配置 。 添 加 方法 
很 简单 : 


FROM php:5.6-apache 
COPY config/php.ini /usr/local/lib/ 
COPY src/ /var/www/html/ 


Oi 


stc/ 是 当前 存放 PHP 代 码 的 文件 夹 ，config/ 文 件 夹 包含 php.ini 文 件 。 


如 果 读者 希望 直接 使 用 官方 镜像 运行 PHP 项 目 ， 可 以 执行 如 下 命令 : 


$ docker run -it --rm --name my-apache-php-app -Vv "$ (pwd)":/var/www/html php: 
5.6-apache 


14.7 Ruby 


Ruby 是 一 种 动态 的 面向 对 象 的 脚本 语言 ， 具 有 支持 反射 、 跨 平台 、 设 计 精 简 等 特点 ， 在 Web 应 用 领域 应 用 颇 多 。Ruby 的 设计 受到 Perl、Smalltalk、Eiffel、Ada 和 Lisp 的 影响 。Ruby 支 持 多 种 编程 范 
式 ， 如 函数 编程 、 面 向 对 象 编程 、CLI 交 互 式 编程 。Ruby 还 有 动态 的 数据 类 型 系统 和 自动 的 内 存 管 理 。 


首先 ， 在 Ruby 项 目 中 创建 一 个 Dockerfile: 


FROM ruby:2.1.2-onbuild 
CMD ["./rb-sample.rb .rb"] 


然后 ， 新 建 rb-sample.rb 例 子 程序 : 


say = "I love Ruby" 
3.times { puts say } 


将 以 上 文件 放 在 app 的 根 目录 (与 Gemfile 同 级 ) 。 


@@ 注 总 
使 用 的 官方 镜像 带 有 onbuild 标 签 ， 意 味 着 包含 了 启动 大 部 分 Ruby 项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ，Docket 会 执行 COPY./usr/src/app 以 及 RUN bundle install。 


然后 ， 构 建 名 为 ruby-image 的 镜像 : 


$ docker build -t ruby-image . 


最 后 ， 创 建 并 运行 此 镜像 : 


$ docker run -it --name ruby-container ruby-image 


> 
人 少 


由 于 在 构建 时 使 用 了 带 有 onbuild 标 签 的 镜像 ， 所 以 在 app 目 录 下 需要 有 Gemfile.lock 文 件 。 可 以 在 App 的 根 目 录 运 行 以 下 掉 


避 


$ docker run --rm -v "$ (pwd)":/usr/src/app -w /usr/src/app ruby:2.1.2 bundle 
install --system 


如 果 读者 只 需要 运行 单个 的 Ruby 脚 本 ， 那 么 无 需 使 用 Dockerfile 构 建 自 定 义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Ruby 镜 像 ， 带 参数 运行 容器 : 


$ docker run -让 --rm --name my-running-script -V "$ (pwd)":/usr/src/myapp -w 
/usr/src/myapp ruby:2.1.2 ruby your-daemon-or-script.rb 


14.7.2 JRuby 


JRuby 类 似 于 Python 的 Jython， 它 可 运行 于 JVM 上 并 支持 Java 的 接口 和 类 。 


Rvuby 


第 一 步 ， 用 户 在 JRuby 项 目 中 创建 一 个 Dockerfile: 


FROM jruby:.1.7.24-onbuild 
CMD ["./jruby-sample.rb"] 


二 步 ， 新 建 Ruby 示 例 代码 jruby-sample.rb: 


say = "I love JRuby" 
3.times { puts say } 


将 此 文件 放 在 app 的 根 目 录 (与 Gemfile 同 级 ) 。 
@@; 境 


使 用 的 官方 镜像 带 有 onbuild 标 签 ， 意 味 着 包含 了 启动 大 部 分 JRuby 项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ， 会 执行 COPY./usr/src/app 以 及 RUN bundle install。 


第 三 步 ， 构 建 自 定义 镜像 : 


$ docker build -t jruby-image . 


第 四 步 ， 创 建 并 运行 此 镜像 : 


$docker run -让 --name jruby-container jruby-image 


由 于 在 构建 时 使 用 了 带 有 onbuild 标 签 的 镜像 ， 所 以 在 app 目 录 下 需要 有 Gemfile.lock 文 件 。 这 时 可 以 在 app 的 根 目录 运行 以 下 命令 : 


$ docker run --rm -V "$ (pwd)":/usr/src/app -w /usr/src/app jruby:1.7.15 bundle 
install -~-system 


如 果 读 者 只 需要 运行 单个 的 JRuby 脚 本 ， 那 么 无 需 使 用 Dockerfile 构 建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 JRuby 镜 像 ， 带 参数 运行 容器 : 


$ docker run -让 --rm --name my-running-script -V "$ (pwd)":/usr/src/myapp -w 
/usr/src/myapp jruby:1.7.15 jruby your-daemon-or-script.rb 


~ 
一 


Rails 是 使 用 Ruby 语 言 编写 的 网 页 程序 开发 框架 ， 目 的 是 为 开发 者 提供 常用 组 件 ， 简 化 网 页 程序 的 开发 。 只 需 编写 较 少 的 代码 ， 就 能 实现 其 他 编程 语言 或 框架 难以 企及 的 功能 。 经 验 丰富 的 Rails 程 序 员 会 
发 现 ，Rails 让 程序 开发 变 得 更 有 乐趣 。 


第 一 步 ， 用 户 在 Rails 项 目 中 创建 一 个 Dockerfile， 将 此 文件 放 在 项 目 根 目录 (与 Gemfile 同 级 ) ，Dockerfile 内 容 如 下 : 


FROM rails:onbuild 


可 见 用 户 使 用 了 onbuild 标 签 ， 即 此 基础 镜像 会 自行 完成 一 些 基本 的 构建 工作 并 包含 了 大 部 分 启动 一 个 Rails 项 目 所 需 的 基本 指令 。 


Dockerfie 内 容 如 下 : 


FROM ruby:2.3 

# throw errors if Gemfile has been modified since Gemfile.lock 
RUN bundle config --global frozen 1 

RUN mkdir -p /usr/src/app 

WORKDIR /usr/src/app 

ONBUILD COPY Gemfile /usr/src/app/ 

ONBUILD COPY Gemfile.lock /usr/src/app/ 

ONBUILD RUN bundle install 

ONBUILD COPY . /usr/src/app 


第 二 步 ， 构 建 自 定义 镜像 : 


$ docker build -t rails-image . 


第 三 步 ， 创 建 并 运行 此 镜像 : 


$ docker run --name rails-container -d rails-image 


此 时 用 户 可 以 使 用 浏览 器 访问 http://container-ip:3000 查 看 服务 ， 当 然 ， 也 可 以 映射 到 本 地 主机 端口 。 


$ docker run --name some-rails-app -p 8080:3000 -d my-rails-app 


现在 读者 可 以 使 用 浏览 器 访问 http://localhost:8080 或 者 http://host-ip:8080。 


2. 使 用 Compose 搭 建 Rails 应 用 


下 面 使 用 Docker Compose 来 配置 和 运行 一 个 简单 的 Rails+ PostgreSQL 应 用 。 


第 一 步 ， 确 定 项 目 文件 夹 内 容 。 新 建 一 个 名 为 rails-compose-example 的 项 目 文件 夹 ， 在 其 根 目录 新 建 一 个 Dockerfile 文 件 ， 内 容 如 下 : 


FROM ruby:2.2.0 

RUN apt-get update -qq && apt-get install -y build-essential libpq-dev 
RUN mkdir /code 

WORKDIR /code 

ADD Gemfile /code/Gemfile 

ADD Gemfile.lock /code/Gemfile.lock 
RUN bundle install 

ADD . /code 

Gemfile 内 容 如 下 : 

source 'https://rubygems .org' 

gem 'rails', '4.2.0' 


下 面 用 户 新 建 docker-compose.yml 文 件 ， 内 容 如 下 : 


version: '2' 
services: 
gb: 
image: postgres 
web: 
build: » 
command: bundle exec rails s -p 3000 -b '0.0.0.0' 
Volumes: 
- .:/myapp 
ports: 
— "3000:3000" 
depends_on: 


第 二 步 ， 构 建 Rails 项 目 。 可 以 使 用 docker-compose run 指 令 构 建 并 启动 此 Rails 项 目 : 


$ docker-compose run web rails new . --force --database=postgresql --skip-bundle 


14.8 Perl 


Perl 是 一 个 高 级 的 、 动 态 的 解释 型 脚本 语言 ， 它 的 设计 借鉴 了 C、Shell、awk 和 sed。Perl 最 重要 的 特性 是 它 内 部 集成 了 正则 表达 式 的 功能 ,以 及 巨大 的 第 三 方 代码 库 CPAN。Perl 像 C 一 样 强大 ， 同 时 像 
awk、sed 等 脚本 语言 一 样 富有 表达 性 。Perl 常 见于 系统 管理 和 文件 处 理 等 程序 ，Perl 多 数 情况 下 属于 Web 方 案 中 的 胶水 语言 。 


© Perl 


可 以 使 用 Docker 官 方 的 Perl 镜 像 作为 基础 ， 在 此 之 上 进行 必要 的 定制 。 


第 一 步 ， 下 载 官方 的 Per 镜像: 


$ docker pull perl 


如 果 读 者 对 Perl 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 以 便于 在 下 一 步 的 Dockerfile 的 FROM 指 令 中 明确 Perl 版 本 号 。 官 方 镜像 都 有 明确 的 标签 信息 。 


第 二 步 ， 在 Perl 项 目 中 新 建 Dockerfile: 


FROM perl:5.20 

COPY . /usr/src/myapp 

WORKDIR /usr/src/myapp 

CMD [ "perl", "./perl-sample.pl" ] 


新 建 perl-sample.pl 文 件 : 


#!/usr/bin/perl 
print "Hello, World!\n"; 


第 三 步 ， 通 过 此 Dockerfile， 构 建 自 定义 的 镜像 : 


$ docker build -t perl-image . 


构建 成 功 后 ， 用 户 可 以 通过 docker images 查 看 : 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
perl-image latest bc28eba086ad About a minute ago 654.9 MB 


最 后 ， 创 建 容器 并 运行 : 


$ docker run -it --rm --name perl-container perl-image 
Hello, World! 


如 果 读者 只 需要 运行 单个 的 Perl 脚 本 ， 那 么 无 需 使 用 Dockerfile 构 建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Perl 镜 像 ， 带 参数 运行 容器 : 


$ docker run -让 --rm --name perl-container -V "$ (pwd)":/usr/src/myapp -w 
/usr/src/myapp perl:5.20 perl perl-sample.pl 
Hello, World! 


如 果 读者 需要 运行 Perl 的 Web 项 目 ， 则 最 好 先 自 建 内 置 SSH 服 务 的 镜像 ， 然 后 以 此 为 基础 定制 Perl 容 器 ， 这 样 可 以 方便 地 通过 SSH 服 务 访问 Perl 容 器 。 


14.9 R 


R 是 一 个 面向 统计 分 析 和 绘图 的 语言 ， 是 由 新 西 兰 奥克兰 大 学 统计 学 系 的 Ross Ilhaka 和 Robert Gentleman 共 同 创立 。R 带 有 大 量 的 统计 软件 包 ， 如 常见 的 贝 叶 斯 推断 、 聚 类 分 析 、 机 器 学 习 、 空 间 统 
计 、 稳 健 统计 等 ， 在 生物 信息 、 统 计 学 等 领域 应 用 广泛 。 


Dn 


Rocker 项 目 是 一 个 Docker 官 方 支持 的 项 目 ， 它 提供 了 R 语 言 的 容器 环境 支持 。 官 方 提供 的 base 镜像 就 是 基于 Rocker 项 目的 。 
1. 运 行 交互 式 R 语 言 环境 


可 以 直接 运行 官方 提供 的 -base 镜像 ， 进 入 交互 模式 的 R 环 境 : 


$ docker run -ti --rm r-base 


退出 交互 命令 行 时 ， 可 以 使 用 quit0 指 令 ， 此 时 可 以 选择 是 否 保存 工作 空间 : 


> quit() 
Save workspace image? [y/n/c]: 


2. 运 行 R 语 言 批量 模式 


可 以 通过 连接 工作 目录 ， 来 运行 R 语 言 的 批量 指令 。 把 一 个 卷 (volume) 连接 至 容器 时 ， 最 好 使 用 一 个 非 根 用 户 ， 这 样 可 以 避免 权限 问题 : 


$ docker run -ti --rm -v "$PWD":/home/docker -w /home/docker -u docker r-base R 
CMD check . 
* using log directory ‘/home/docker/http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/..Rcheck 
* using R version 3.3.0 (2016-05-03) 
* using platform: x86 64-pc-linux-gnu (64-bit) 
* using session charset: UTF-8 
* checking for file “./DESCRIPTION” http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... NO 
* DONE 
Status: OK 


可 以 直接 进入 R 容 器 的 bash 命 令 行 : 


$ docker run -ti --rm r-base bash 
root@4a0bba3f4cb4:/# 


在 bash 中 如 果 希 望 进入 R 语 言 交 互 命令 行 ， 可 以 直接 输入 R: 


root@4a0bba3f4cb4:/bin# R 
x 


可 以 使 用 vim.tiny 编 辑 器 ， 新 建 rdemo.R 脚 本 : 


print ("Hello, World!") 


保存 后 ， 就 可 以 使 用 Rscript 指 令 运行 此 脚本 : 


root@4a0bba3f4cb4:/bin# Rscript demo.R 
Rscript demo.R 
[1] “Hello,World!" 


还 可 以 在 R 语 言 交互 命令 行 中 运行 R 脚 本 。 首 先 ， 在 容器 中 新 建 hi.R 脚 本 : 


hello <- function( name ) { 
sprintf( "Hello, %s", name ); 
} 


然后 直接 输入 R 指 令 进 入 交互 命令 行 ， 使 用 source() 函 数 加 载 脚本 ， 再 使 用 hello() 函 数 调用 用 户 的 打印 逻辑 : 


> source('/bin/hi.R') 
> hello('docker') 

[1] "Hello，qocker" 
> 


4. 使 用 自 定义 容器 


种 情况 下 ， 用 户 就 需要 基于 官方 提供 的 r-base 基 础 镜像 ， 完 成 自 定义 的 Dockerfile， 例 如 : 


剖 
/CC 
聘 
缉 
降 


在 用 户 将 手头 的 R 项 目 容器 化 的 过 程 中 ， 往 往 需要 加 入 自己 的 环境 构建 逻辑 ， 也 需要 运行 自 


FROM r-base:latest 

COPY . /usr/local/src/r-scripts 
WORKDIR /usr/local/src/r-scripts 

CMD ["Rscript", "running-r-scripts.R"] 


其 中 running-r-scripts.R 内 容 可 以 简写 为 : print("My R Container!") 然 后 ,使 用 docker build 指 令 构 建 : 


$ docker build -t my-r-container /directry/of/Dockerfile 


然后 使 用 docker run 指 令 运行 容器 ， 并 通过 docker ps 指令 查看 运行 状态 


$ docker run -d my-r-container 

C86739682263081372d90D0TD9f62532405814b5172a54348750751839c2e57f 

docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 

e86739e8226a my-r-container "Rscript running-r-sc" http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/..ago Exited (0) 


14.10 Erlang 


Erlang 是 一 种 用 来 构建 大 规模 弹性 、 实 时 、 高 并 发 、 高 可 用 系统 的 编程 语言 ， 被 广泛 应 用 于 电信 、 银 行 、 电 子 商务 和 即时 消息 领域 。Erlang 的 运行 时 系统 内 置 支持 并 发 、 分 布 式 和 容错 机 制 。Erlang 由 
爱立信 所 辖 的 CS-Lab 于 1987 年 开发 ， 目 的 是 创造 一 种 可 以 应 对 大 规模 并 发 活动 的 编程 语言 和 运行 环境 。 


1. 使 用 官方 镜像 


可 以 使 用 erlang 镜 像 ， 直 接 进入 Erlang 交 互 命令 行 Eshell: 


$ docker run -it --rm erlang:latest 

Erlang/OTP 18 [erts-7.3.1] [source] [64-bit] [async-threads:10] [hipe] [kernel-poll:falsel] 
Eshell V7.3.1 (abort with ^G) 

1> uptime () . 

3 minutes and 3 seconds 

ok 

2> 


可 以 使 用 ctl+ G 进 入 任务 切换 模式 ， 其 中 j 为 列 出 所 有 任务 : 


User switch command 

--> ]j 

1* {shell,start, [init]} 

-->q 
$ docker run -让 --rm -h erlang.local erlang erl -name allen 
Erlang/OTP 18 [erts-7.3.1] [source] [64-bit] [async-threads:10] [hipe] [kernel-poll:false] 
Eshell V7.3.1 (abort with ^G) 
(allen)1> erlang:system info(otp release). 
"18" 
(allen) 2> 
User switch command 


--> 


2. 直 接 运 行 Erlang 脚 本 


可 以 直接 使 用 docker run 指 令 ， 通 过 escript 运 行 Erlang 脚 本 。 下 面 以 斐 波 那 契 数列 作为 例子 进行 讲解 。 


首先 ， 新 建 fab.erl 文 件 : 


#!/usr/bin/env escript 
3 = Erlang 一 上 一 


main([String]) -> 
try 
N= list to integer (String), 
F = fac(N), 
io:format ("factorial ~w = ~w\n", [N,F]) 
catch 
i 
~ usage() 
end; 
main( ) -> 
usage (). 
usage() -> 


io:format ("usage: factorial integer\n"), 


halt (1). 
facl0) => 1» 
fac(N) -> N * fac(N-1). 


保存 后 ,使 用 docker run 指 令 运行 : 


$ docker run -让 --rm --name erlang-instl -V "$PWD":/usr/src/myapp -w /usr/src/ 
myapp erlang escript fab.erl 5 
factorial 5 = 120 


可 见 已 输出 factorial 5=120 计 算 结果 。 


14.11 本 章 小 结 


本 章 主要 介绍 了 如 何 使 用 Docker 搭 建 主 流 编程 语言 及 其 常用 开发 框架 环境 , 包括 C、C++、Java、Python、JavaScript、Go、PHP、Ruby、Perl、R、Erlang 等 。 


一 方面 ,读者 可 以 很 容易 地 从 Docker Hub 获 取 官方 镜像 并 使 用 ， 另 一 方面 ， 用 户 也 可 以 基于 基础 镜像 定制 所 需 的 镜像 文件 。 通 过 这 些 实践 案例 ， 相 信 读 者 能 体会 到 更 多 合理 使 用 容器 化 方案 ,给 开发 
和 部 署 带 来 的 诸多 优势 。 


第 15 章 “容器 与 云 服务 


Docker 目 前 已 经 得 到 了 众多 公有 云 平台 的 支持 ， 并 成 为 除 虚拟 机 之 外 的 核心 云 业务 。 


除了 AWS、Google、Azure、Docker 官 方 云 服务 等 ， 国 内 的 各 大 公有 云 厂商 ， 基 本 上 都 同时 支持 了 虚拟 机 服务 和 容器 服务 ， 甚 至 还 专门 推出 了 容器 云 业务 。 


本 章 将 介绍 国际 和 国内 知名 的 公共 云 容 器 服务 以 及 容器 云 的 现状 ， 功 能 与 特性 ， 并 以 阿里 云 和 时 速 云 为 例 讲 解 具体 使 用 过 程 ， 方 便 希 望 使 用 云 服务 的 读者 进行 技术 选 型 。 


15.1 ”公有 云 容 器 服务 


公有 云 (Public Cloud) 是 标准 云 计算 (Cloud Computing) 的 一 种 服务 模式 。 服 务 供应 商 创造 公有 计算 资源 ， 如 网 络 和 存储 资源 。 公 众 与 企业 可 以 通过 公共 网 络 获取 这 些 资源 。 目 前 国内 已 经 有 很 多 
公有 云 厂 商 ， 他 们 都 提供 可 以 运行 Docker 环 境 的 虚拟 机 ， 同 时 一 部 分 公有 云 厂商 已 经 发 布 了 自己 的 容器 服务 。 


15.1.1 AWS 


AWS， 即 Amazon Web Services， 是 亚马逊 (Amazon) 公司 的 laas 和 Paas 平 台 服务 。AWS 提 供 了 一 整套 基础 设施 和 应 用 程序 服务 ， 使 用 户 几乎 能 够 在 云 中 运行 一 切 应 用 程序 : 从 企业 应 用 程序 和 大 
数据 项 目 ， 到 社交 游戏 和 移动 应 用 程序 。AWS 面 向 用 户 提供 包括 弹性 计算 、 存 储 、 数 据 库 、 应 用 程序 在 内 的 一 整套 云 计 算 服 务 ， 能 够 帮助 企业 降低 1T 投 入 成 本 和 维护 成 本 。 


自 2006 年 初 起 ， 亚 马 逊 AWS 开 始 在 云 中 为 各 种 规模 的 公司 提供 技术 服务 平台 。 利 用 亚 马 簿 AWS， 软 件 开 发 人 员 可 以 轻松 购买 计算 、 存 储 、 数 据 库 和 其 他 基于 Internet 的 服务 来 支持 其 应 用 程序 。 开 发 人 
员 能 够 灵活 选择 任何 开发 平台 或 编程 环境 ， 以 便于 其 尝试 解决 问题 。 由 于 开发 人 员 只 需 按 使 用 量 付费 ， 无 需 前 期 资本 支出 ， 亚 马 逊 AWS 是 向 最 终 用 户 交付 计算 资源 、 保 存 的 数据 和 其 他 应 用 程序 的 一 种 经 济 
划算 的 方式 。 


2015 年 AWS 正 式 发 布 了 容器 服务 (ECS) ， 如 图 15-1 所 示 。ECS 的 目的 是 让 Docker 容 器 变 得 更 加 简单 ， 它 提供 了 一 个 集群 和 编排 的 层 ， 用 来 控制 主机 上 的 容器 部 署 ， 以 及 部 署 之 后 集群 内 容器 的 生命 周 
期 管理 。ECS 是 诸如 Docker Swarm、Kubernetes、Mesos 等 工具 的 替代 ， 它 们 工作 在 同一 个 层 ， 除 了 作为 一 个 服务 来 提供 。 这 些 工 具 和 ECS 不 同 的 地 方 在 于 ， 前 者 需要 用 户 自己 来 部 署 和 管理 ， 而 ECS 
是 “作为 服务 ”来 提供 的 。 
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图 15-1 AWS 容 器 服务 


Google Cloud Platform (GCP) 平台 提供 了 丰富 全 面 的 云 产 品 ， 可 以 让 企业 专注 于 自己 的 业务 ， 而 将 IT 底层 架构 托管 给 谷歌 。 谷 歌 云 平台 支持 App 引 擎 、 容 器 引擎 、 容 器 仓库 ， 还 支持 丰富 的 数据 


库 、 网 络 、 安 全 、 大 数据 ， 甚 至 机 器 学 习 产品 。Google 云 平台 发 布 了 Google 容 器 引擎 ， 


图 15-2 描 述 了 如 何在 开发 场景 中 使 用 Google 容 器 引擎 。 


(Google Cloud Platform 


Google 容 器 引擎 有 以 下 特性 : 


“ 自动 化 容器 管理 : Google Container Engine 是 一 个 强大 的 集群 管理 和 编排 系统 。 这 个 容器 引擎 可 以 按 需 将 Docker 容 器 编排 至 集群 中 自动 运行 ， 同 时 可 以 自 定义 CPU 和 内 存 等 配置 。 此 引擎 基于 


Kubernetes， 它 可 以 提供 弹性 ， 高 可 用 的 云 基础 服务 。 


“ 分 钟 级 构建 集群 : 使 用 谷歌 容器 服务 ， 用 户 可 以 在 分 钟 级 别 构 建 完整 的 集群 ， 包 含 健康 检查 、 日 志 服 务 ， 以 及 应 用 管理 系统 。 


“ 弹性 与 开源 : Red Hat、Microsoft、IBM、Mirantis OpenStack 以 及 VMware 都 完成 了 


它们 的 系统 与 Kubernetes 的 兼容 或 集成 。 用 户 可 以 平滑 搭建 混合 云 ， 也 可 以 平滑 迁移 系统 到 云 上 。 
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图 15-2 ”GCP 容器 服务 的 开发 场景 


15.1.3 Azure 


微软 Azure 在 国内 是 由 世纪 互联 运营 的 ， 它 是 在 中 国 大 陆 独立 运营 的 公有 云 平台 ， 与 全 球 其 他 地 区 由 微软 运营 的 Azure 服 务 在 物理 上 和 逻辑 上 独立 。 采 用 微软 服务 于 全 球 的 Azure 技 术 ， 为 客户 提供 全 球 
一 致 的 服务 质量 保障 。 位 于 上 海 和 北京 的 数据 中 心 在 距离 相隔 1000 公 里 以 上 的 地 理 位 置 提供 异地 复制 ， 为 Azure 服 务 提 供 了 业务 连续 性 支持 ， 实 现 了 数据 的 可 靠 性 。 


Windows Azure 


在 容器 方面 ， 从 2014 年 开始 ，Azure 首 先 采 取 了 在 Linux 虚 拟 机 上 兼容 Docker 的 方式 来 吸引 社区 的 开发 者 。2014 年 进一步 宣布 与 Google 和 Docker 合 作 ， 以 此 支持 Kubernetes 和 Swarm 开源 项 目 在 其 云 
平台 上 的 运行 。Docker 官 方 也 推出 了 Docker Machine 的 Azure 版 本 。2015 年 
具 。 


，Azure 发 布 了 Azure 容 器 服务 (Azure Container Service，ACS) ， 同 时 支持 Docker Swarm 和 Apache Mesos 集 群 编排 工 


15.1.4 ”腾讯 云 


腾讯 云 在 架构 方面 经 过 多 年 积累 ， 并 且 有 着 多 年 对 海量 互联 网 服务 的 经 验 。 不 管 是 社交 、 游 戏 还 是 其 他 领域 ， 都 有 多 年 的 成 熟 产品 来 提供 产品 服务 。 腾 讯 在 云端 完成 重要 部 署 ， 为 开发 者 及 企业 提供 云 


服务 、 云 数据 、 云 运营 等 整体 一 站 式 服务 方案 。 


CC 为 腾讯 云 


具体 包括 云 服务 器 、 云 存储 、 云 数据 库 和 弹性 Web 引 警 等 基础 云 服 务 ， 腾 讯 云 分 析 (MTA) 、 腾 讯 云 推送 (信鸽 ) 等 腾讯 整体 大 数据 能 力 ， 以 及 QQ 互联 、QQ 空 间 、 微 云 、 微 社区 等 云端 链接 社交 体 
系 。 这 些 正 是 腾讯 云 可 以 提供 给 这 个 行业 的 差异 化 优势 ， 造 就 了 可 支持 各 种 互联 网 使 用 场景 的 高 品质 的 腾讯 云 技术 平台 。 


2015 年 1 月 6 日 ， 腾 讯 云 正式 宣布 成 支持 Docker Machine， 并 将 自身 定位 于 Docker 基 础 设施 的 服务 商 。 与 此 同时 ， 在 支持 Docker Machine 前 提 下 ， 腾 讯 云 也 推出 了 常用 系统 的 标准 版 Docker 镜 像 ， 
方便 用 户 创建 容器 。 


15.1.5 ”阿里 云 


阿里 云 创立 于 2009 年 ， 是 中 国 较 早 的 云 计 算 平台 。 阿 里 云 致 力 于 提供 安全 、 可 靠 的 计算 和 数据 处 理 能 力 。 阿 里 云 的 客户 群体 中 ， 活 路 着 微 博 、 知 乎 、 魅 族 、 锤 子 科 技 、 小 咖 秀 等 一 大 批 明星 互联 网 公 
司 。 在 天 猫 双 11 全 球 狂欢 节 等 极 富 挑战 的 应 用 场景 中 ， 阿 里 云 保持 着 良好 的 运行 记录 。 


人 了 8 


阿里 云 容器 服务 提供 了 高 性 能 、 可 伸缩 的 容器 应 用 管理 服务 ， 支 持 在 一 组 云 服务 器 上 通过 Docker 容 器 来 进行 应 用 生命 周期 管理 。 容 器 服务 极 大 简化 了 用 户 对 容器 管理 集群 的 搭建 工作 ， 无 颖 整合 了 阿里 
云 虚拟 化 、 存 储 、 网 络 和 安全 能 力 。 容 器 服务 提供 了 多 种 应 用 发 布 方式 和 流水 线 般 的 持续 交付 能 力 ， 原 生 支 持 微服 务 架构 ， 助 力 用 户 无 颖 上 云 和 跨 云 管理 。 


15.1.:6 华为 云 


华为 云 已 经 正式 推出 了 云 容器 服务 一 一 CCE (Cloud Container Engine) 容器 引擎 ， 该 服务 基于 以 Docker 为 代表 的 容器 技术 ， 虽 在 提供 从 开发 、 构 建 、 部 署 /托管 、 监 控 、 弹 性 伸缩 、 故 障 恢复 等 全 生 
命 周 期 的 一 站 式 解 决 方案 。CCE 容 器 引擎 自 上 线 以 来 ， 已 经 在 多 个 行业 市 场 取得 重大 进展 ， 在 “互联 网 、 金 融 、 政 企 ” 等 领域 与 多 家 合作 伙伴 达成 合作 。 


HUAWEI 


通过 CCE 容 器 引擎 ， 可 以 创建 自己 的 私有 集群 ， 系 统 支持 容器 集群 的 全 生命 周期 管理 和 可 视 化 监控 运 维 。 还 可 以 秒 级 构建 不 同形 态 和 规模 的 应 用 程序 ， 兼 容 业 界 Docker 等 生态 ， 并 支持 应 用 的 弹性 伸缩 
和 丰富 的 监控 告警 服务 。 


15.1,7 YCloud 


UCIoud 是 基础 云 计算 服务 提供 商 ， 长 期 专注 于 移动 互联 网 领域 ， 深 度 了 解 移动 互联 网 业务 场景 和 用 户 需求 。 针 对 特定 场景 ，UCIoud 通 过 自主 研发 提供 一 系列 专业 解决 方案 ， 包 括 计算 资源 、 存 储 资源 
和 网 络 资源 等 企业 必须 的 基础 IT 架构 服务 ， 满 足 互联 网 研发 团队 在 不 同 场景 下 的 各 类 需求 。 已 有 数 干 家 移动 互联 网 团队 将 其 核心 业务 迁移 至 UCloud 云 计算 服务 平台 上 。 依 托 位 于 国内 、 亚 太 、 北 美的 全 球 10 
大 数据 中 心 以 及 北 、 上 、 广 、 深 、 杭 等 全 国 11 地 线 下 服务 站 ，UCIoud 已 为 近 4 万 家 企业 级 客户 提供 服务 。 


UCIloud 容 器 集群 服务 是 可 灵活 便捷 使 用 的 容器 服务 ， 资 源 可 分 布 于 多 个 可 用 区 ， 具 有 更 高 容 灾 能 力 。 支 持 用 户 自由 创建 管理 ， 可 以 灵活 绑 定 一 个 或 多 个 EIP 并 具有 独立 的 内 网 |P 及 独立 的 防火 墙 。 


15.2 ”容器 云 服务 


容器 即 服务 (Contaner as a Service，CaaS) 可 以 按 需 提供 容器 化 环境 和 应 用 服务 。 具 体 说 来 ，CaaS 提 供 一 个 受 控 的 、 安 全 的 应 用 环境 ， 让 开发 人 员 以 自助 的 方式 构建 和 部 署 应 用 ， 如 图 15-3 所 示 。 
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图 15-3 CaaS Workflow 


开发 和 运 维 团队 (Developers) 通过 Docker Registry 相 互 协作 。Registry 服 务 维护 一 个 安全 的 经 过 签名 的 映像 仓库 。 开 发 者 (Developers) 可 以 通过 Registry 服 务 将 应 用 镜像 拉 取 至 本 地 ， 并 按 自己 的 
意愿 构建 应 用 。 当 应 用 通过 集成 测试 后 ， 开 发 者 将 其 推送 至 Registry， 这 样 既 可 保存 最 新 版 本 的 镜像 。 以 上 的 应 用 部 署 可 以 完全 自动 化 。 


Caas 的 崛起 将 促进 Ops-originated 类 型 的 程序 交付 。 开 发 与 运 维 之 间 的 平衡 、 灵 活性 和 控制 将 会 改善 。 基 于 容器 的 服务 将 发 展 到 以 运 维 主导 ， 代 蔡 原 来 的 开发 者 模型 ， 开 发 和 运 维 将 共享 开发 生命 周 
期 。 当 然 ， 容 器 也 将 成 为 生产 主流 。 


15.2.1 ”基本 要 素 与 关键 特性 


一 般 而 言 ，CaaS 应 该 可 以 提供 容器 运行 平台 ， 并 管理 容器 所 需 资源 ， 基 于 laaS 提 供 灵活 的 网 络 与 部 署 能 力 ; 支持 多 租户 ; 支持 高 弹性 。 具 体 而 言 ，CaaS 有 以 下 基本 要 素 : 


“ 容器 调度 : 调度 和 管理 容器 ; 


“ 服务 发 现 : 将 容器 化 的 服务 ， 注 册 到 服务 发 现 工具 ， 确 保 服务 之 间 的 通信 ; 


“ 网 络 配 置 : 用 户 可 访问 容器 ， 并 实现 跨 主 机 容器 通信 ; 


' 安全 配置 : 只 开放 容器 监听 的 端口 ; 


:负载 均衡 : 避免 单 点 过 载 ; 


“ 数据 持久 化 : 容器 内 数据 云端 持久 化 ; 


“ 容错 与 高 可 用 : 上 日志 与 管理 ， 容 器 监控 ; 
:CaaS 的 关键 特性 : 

“ 开发 者 和 运 维 角色 的 进一步 有 机 融合 。 

“ 容器 化 应 用 程序 生命 周期 的 所 有 阶段 。 

“ 让 开发 者 更 加 关注 构建 应 用 本 身 ， 而 无 需 关注 运行 环境 。 
“ 支持 多 种 底层 基础 设施 ， 包 括 多 种 操作 系统 和 平台 。 


“ API 变 得 越 来 越 重 要 ， 不 同 服务 之 间 通 过 API 相 互 调用 。 


15.2.2 ”网 易 蜂 梨 


网 易 蜂 巢 是 网 易 基 于 自 研 laaS 平 台 深 度 优化 ， 推 出 的 一 款 采用 Docker 容 器 化 技术 的 新 一 代 云 计算 平台 ， 全 面 助力 加 速 研发 全 流程 。 拥 有 BGP 多 线 接 入 ， 全 万 兆 网 络 ， 全 SSD 存 储 等 优质 硬件 资源 ， 自 底 


向 上 确保 安全 、 极 速 、 稳 定 的 研发 体验 ， 参 见 图 15-4。 


的 网 易 ! 


网 易 蜂 巢 主要 提供 三 大 产品 : 


“ 容器 云 : 蜂 策 提供 企业 级 的 容器 云 平台 ， 支 持 应 用 集群 一 键 部 署 ， 云 计算 资源 弹性 扩展 ，Docker 官 方 镜像 加 速 。 此 外 蜂 梨 还 支持 负载 均衡 以 及 镜像 仓库 服务 ; 
“ 平台 服务 : 蜂巢 提供 高 性 能 、 高 可 用 、 高 可 靠 的 数据 库 和 缓存 服务 ， 与 容器 云 相 辅 相 成 ， 让 开发 者 可 以 专注 于 应 用 开发 和 业务 发 展 。 此 外 蜂 业 平台 服务 还 提供 对 象 存储 以 及 安全 服务 ; 


“ 运 维 工具 : 蜂 时 提供 性 能 监控 、 报 警 ， 日 志 采 集 等 运 维 工 具 ， 提 升 开发 、 运 维 效率 ， 同 时 提供 OpenAPI， 灵 活 管理 资源 。 


| Web/API 服务 


Traffic Flow | . 


镜像 服务 


控制 服务 
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15-4 ”网易 蜂 全 CaaS 架 构 示意 


容器 是 蜂巢 提供 的 计算 资源 最 小 单位 ， 而 要 实现 一 个 可 水 平 扩展 的 产品 服务 端 架构 ， 则 需要 引入 集群 的 概念 ， 在 网 易 蜂 巢 中 称 之 为 “服务 ” ， 集 群 的 运 维 如 发 布 、 回 滚 、 扩 容 、 缩 容 以 及 集群 的 成 员 管 


理 需 要 引入 编排 服务 来 实现 。 网 易 蜂 划 的 编排 服务 基于 开源 项 目 Kubernetes， 编 排 服务 将 受 控 的 资源 抽象 为 三 个 层次 : 


“ 容器 : 软件 及 运行 环境 ; 


“ Pod: 相关 联 的 容器 的 组 合 ， 相 互 间 通 信 无 需 跨 网 络 ， 例 如 应 用 服务 器 和 本 地 缓存 ， 可 以 容纳 一 个 或 多 个 容器 ; 


“ Node: 提供 计算 、 网 络 、 存 储 的 资源 节点 ， 可 以 容纳 一 个 或 多 个 Pod。 


时 速 云 是 国内 领先 的 容器 云 平台 和 解决 方案 提供 商 。 基 于 Docker 为 代表 的 容器 技术 ， 为 开发 者 和 企业 提供 应 用 的 镜像 构建 、 发 布 、 持 续集 成 /交付 、 容 器 部 署 、 运 维 管理 的 新 一 代 云 计算 平台 。 其 中 包 
括 标准 化 、 高 可 用 的 镜像 构建 ， 存 储 服 务 、 大 规模 、 可 伸缩 的 容器 托管 服务 ， 及 自 有 主机 集群 混合 云 服务 。 时 速 云 致力 打造 下 一 代 以 应 用 为 中 心 的 云 计算 平台 ， 帮 助 客户 优化 开发 运 维 环节 ， 提 高 业务 效 
率 ， 降 低 !T 成 本 ， 实 现 持续 创新 。 


«» 


tenNxcloud .com 


时 速 云 做 基于 Kubernetes 的 CaaS 平 台 ， 以 容器 化 应 用 作为 交付 的 标准 ， 立 足 于 公有 云 ， 为 开发 者 和 企业 提供 了 一 个 快速 构建 、 集 成 、 部 署 、 运 行 容器 化 应 用 的 平台 ， 帮 助 开发 者 和 企业 提高 应 用 开发 
的 迭代 效率 ， 简 化 运 维 环节 ， 降 低 运 维 成 本 。 客 户 包括 华 大 基因 、 京 东方 、 中 国 移动 、 新 浪 、 腾 讯 等 重量 级 用 户 。 


时 速 云 拥有 四 大 核心 产品 线 ， 包 括 : 


“ 企业 级 容器 云 平台 : 兼 具 IaaS 的 便利 ，PaaS 的 简单 ， 原 生 集 群 快速 创建 ， 上 千 节 点 集群 的 快速 调度 、 部 署 。 


“ 企业 级 镜像 仓库 : 集群 化 部 署 、 多 角色 权限 控制 、 集 成 企业 LDAP、 增 强 扩展 组 件 、 可 视 化 管理 。 


“ 持续 集成 和 持续 交付 〈CI/CD) : 轻松 云端 构建 、 定 制 集成 、 部 署 规则 、 事 件 触发 定义 、 关 键 环 节 审 核 。 


“ 镜像 及 安全 服务 中 心 : 多 层次 镜像 扫描 、 服 务 安全 防护 、 可 视 化 审查 、 第 三 方 规则 接 入 。 


15.2.4 Daocloud 


网 


Daocloud 成 立 于 2014 年 未 ， 是 新 一 代 容 器 云 计算 领域 的 明星 企业 。DaoCloud 产 品 线 涵盖 互联 网 应 用 的 开发 、 交 付 、 运 维和 运营 全 生命 周期 ， 并 提供 公有 云 、 混 合 云 和 私有 云 等 多 种 交付 方式 。 参 见 
15-5。 
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图 15-5 “Daocloud CaaS 平 台 


除了 公有 云 服务 开始 商用 之 外 ，DaoCloud 还 公布 了 面向 大 型 企业 用 户 ， 以 混合 云 方式 交付 的 托管 云 和 私有 云 服务 。 在 企业 既 有 IT 框架 内 ， 针 对 具体 企业 业务 需求 ， 定 制 高 度 可 控 的 跨 云 跨 网 的 混合 式 容 
器 云 平台 ， 帮 助 企业 打造 支撑 互联 网 级 业务 的 基础 设施 。 


DaoCloud 对 国内 容器 技术 社 


区 有 不 间断 的 技术 和 资源 投入 ，Docker Hub 加 速 器 在 


国内 被 开发 者 广泛 使 用 ， 并 承诺 为 开发 者 提供 永久 免费 的 社 


区 资源 服务 。 


灵 雀 云 成 立 于 2014 年 10 月 ， 总 部 位 于 美国 西雅图 市 ， 是 微软 创 投 加 速 器 成 员 。 云 省 科技 致力 于 提供 简单 快捷 的 云 平台 和 服务 ， 帮 助 客户 提高 开发 部 署 效率 ， 降 低 客 户 IT 成 本 ， 并 使 客户 可 以 专注 于 核心 


业务 。 云 省 科技 产品 线 以 容器 这 个 新 一 代 应 用 交付 件 为 中 心 ， 全 方位 支持 云端 应 用 创建 、 


编译 、 集 成 、 部 署 、 运 行 的 每 一 个 环节 。 


灵 人 省 云 产 品 线 包括 Docker 托 管 服务 和 镜像 服务 。Docker 托 管 服务 提供 高 效 ， 高 可 用 的 运行 环境 ， 并 支持 自动 化 部 署 。Docker 托 管 服务 还 提供 自动 修复 ， 自 动 扩展 ， 负 载 均衡 等 服务 ， 并 在 此 基础 之 上 
提供 可 扩展 的 监控 ， 日 志 管 理 系统 。 镜 像 服务 提 供 高 性 能 本 地 Registry 服 务 用 于 创建 私有 ， 公 有 镜像 仓库 ， 提 供 上 传 ， 下 载 ， 构 建 及 托管 的 全 方位 镜像 服务 。 目 前 ， 灵 和 雀 云 已 经 在 北京 区 ， 上 海 
搭建 了 基于 Azure 的 CaaS 服 务 体系 。 


区 和 香港 


区 


数 人 云 由 原 Google 架 构 师 王 现 博 士 于 2014 年 创立 ， 致 力 于 打造 下 一 代 轻 量 级 Paas 平 台 ， 将 应 用 弹性 做 到 极致 。“ 数 人 云 ” 是 一 款 部 署 在 公有 云 、 私 有 云 以 及 混合 云 之 上 的 企业 级 云 操作 系统 ， 虽 在 帮 
助 用 户 在 云端 快速 建立 并 稳定 运行 一 个 高 性 能 生产 环境 ， 将 应 用 弹性 做 到 极致 ， 实 现 一 站 式 的 微服 务 架构 集群 系统 ， 参 见 图 15-6。 


SaaS 
系统 


手机 并 互联 网 
APP 金融 


图 15-6” 数 人 云 平台 


“ 数 人 云 ” 的 云 操作 系统 ， 是 一 款 部 署 在 公有 云 或 者 私有 云 (IDC) 之 上 的 应 用 运 维 软 件 ， 旨 在 帮助 用 户 在 云端 快速 建立 并 稳定 运 维 一 个 高 性 能 生产 环境 。 基 于 领先 的 Mesos 和 Docker 技 术 ， 数 人 云 可 


为 用 户 的 业务 系统 带 来 高 可 用 的 服务 质量 ， 快 速 的 性 能 伸缩 ， 高 效 的 资源 利用 以 及 便捷 的 可 视 化 管理 和 监控 ; 同时 ， 数 人 云 保证 


户 的 计算 资源 和 数据 完全 为 用 户 私 有 可 控 。 


15.3 ”阿里 云 容 器 服务 


ACS (Alicloud Container Service， 阿 里 云 容器 服务 ) 是 一 种 高 性 能 可 伸缩 的 容器 管理 服务 ， 支 持 在 一 组 阿里 云云 服务 器 上 通过 Docker 容 器 来 运行 或 编排 应 用 。ACS 让 用 户 可 以 轻松 的 进行 容器 管理 


集群 的 搭建 。 此 外 ，ACS 整 合 了 负载 均衡 、 专 有 网 络 等 丰富 的 阿里 云云 产品 ， 足 以 支撑 企业 级 IT 架构 的 云 化 与 容器 化 ， 微 服务 化 。 
生命 周期 管理 ， 参 见 图 15-7。 


户 还 可 以 通过 阿里 云 控制 台 或 Restful API (兼容 Docker AP1) 进行 容器 


亲 诗 三 


allyun.com 


有 SLB -~ 


~ ~ 


容器 AN LA 容器 


RDS 


15-7 ”阿里 云 容器 服务 


ACS 容 器 服务 具有 以 下 优势 : 


“ 简单 易 用 : 一 键 创建 容器 集群 ， 全 兼容 Docker Compose 模 板 编排 应 用 ; 支持 图 形 化 界面 和 Open API; 一 站 式 网 络 、 存 储 、 日 志 、 监 控 、 调 度 、 路 由 和 持续 发 布 管理 ; 


: 安全 可 控 : 用 户 拥 有 并 独占 云 服务 器 ; 支持 定制 安全 组 和 专 有 网 络 VPC 安 全 规则 ; 集群 级 别 基于 证 书 的 认证 体系 ; 支持 证 书 刷 新 ; 容器 级 别 的 资源 隔离 和 流 控 ; 支持 集群 级 别 和 子 账 号 级 别 的 权限 管 


“ 协议 兼容 : 兼容 标准 Docker Swarm API， 支 持 应 用 无 缝 迁 云 ， 支 持 混合 云 场景 ; 兼容 Docker Compose 模 板 协 议 ; 支持 通过 API 对 接 ， 实 现 第 三 方 的 调度 下 发 和 系统 集成 ; 


“ 高 效 可 靠 : 支持 海量 容器 秒 级 启动 ; 支持 容器 的 异常 恢复 和 自动 伸缩 ;支持 跨 可 用 区 的 高 可 用 ; 


下 面 介绍 阿里 云 的 应 用 场景 。 


1.Web 应 用 容器 化 部 署 


容器 服务 支持 自动 化 地 配置 负载 均衡 SLB 和 后 端 云 服务 器 ECS， 通 过 选择 Web 应 用 对 应 的 Docker 镜 像 ， 一 键 部 署 ; 


:支持 多 种 灰 度 发 布 策略 ， 包 括 蓝 绿 发 布 和 金 丝 稚 发 布 ， 保 证 应 用 平滑 升级 。 
“ 支持 查看 容器 和 系统 等 不 同 维度 的 监控 ， 并 配置 扩容 和 弹性 伸缩 的 策略 。 

“ 支持 通过 声明 的 方式 配置 后 端的 数据 库 等 云 服务 。 

2. 持 续集 成 系统 构建 


在 阿里 云 容器 镜像 服务 创建 一 个 自动 构建 类 型 的 镜像 仓库 ， 选 择 关 联 代码 源 到 Github 或 云 Code。 当 代码 提交 后 ， 会 触发 Docker 镜 像 的 自动 构建 ， 参 见 图 15-8。 


在 镜像 Webhook 里 配置 容器 服务 的 trigger AP1， 这 样 当 镜像 构建 完毕 后 ， 就 会 触发 容器 的 自动 部 署 ， 实 现 流水 线 般 的 持续 集成 和 持续 交付 。 


Github 容 需 镜像 服务 


图 15-8 ”Web 应 用 容器 化 部 署 架构 示意 图 


3. 微 服务 架构 系统 构建 


将 用 户 现 有 的 系统 从 业务 领域 或 横向 扩展 等 维度 拆 分 成 多 个 微服 务 ， 每 个 微服 务 的 内 容 用 一 个 镜像 管理 。 


通过 Docker Compose 编 排 模板 描述 微服 务 之 间 的 依赖 关系 和 配置 。 在 容器 服务 选择 编排 模板 一 键 创建 应 用 ， 参 见 图 15-9。 


容 需 
(服务 A) 


全 消息 服务 


容器 
(服务 C) 


图 15-9 持续 集成 架构 示意 图 


4. 常 用 工具 


为 了 进一步 提高 容器 服务 的 易 用 性 和 可 用 性 ， 阿 里 云 容器 服务 提供 了 许多 常用 工具 ， 如 阿里 云 版 本 docker-machine， 阿 里 云 容器 加 速 器 ， 以 及 阿里 云 容器 Hub 服 务 。 


如 果 想 要 了 解 更 多 信息 ， 可 以 访问 阿里 云 官 方 网 站 : https//www.aliyun.com。 


15.4 ”时速 云 容器 平台 


时 速 云 是 国内 领先 的 容器 云 平台 和 解决 方案 提供 商 ， 基 于 Docker 为 代表 的 容器 技术 ， 为 开发 者 和 企业 提供 应 用 的 镜像 构建 、 快 速 发 布 、 持 续集 成 /交付 ， 以 及 容器 化 应 用 的 部 署 运行 、 运 维 管理 的 新 一 
代 云 计算 平台 。 其 中 包括 标准 化 、 高 可 用 的 镜像 构建 ， 分 布 式 、 高 可 用 的 存储 服务 ， 大 规模 、 可 伸缩 的 容器 托管 服务 ， 以 及 私有 主机 集群 管理 的 混合 云 服务 。 时 速 云 也 一 直 致 力 于 打造 下 一 代 以 应 用 为 中 心 
的 云 计 算 平台 ， 帮 助 用 户 优化 开发 运 维 环节 ， 提 高 业务 效率 ， 降 低 1T 成 本 ， 实 现 持续 创新 。 其 架构 参见 图 15-10。 


时 速 去 公有 云 服务 的 主要 功能 包括 “容器 服务 ”、“ 持 续集 成”、 “镜像 服务 ”、 “服务 编排 ”和 “私有 集群 ”， 涵 盖 了 以 容器 技术 为 基础 的 应 用 平台 所 需要 的 支撑 能 力 ， 权 衡 了 平台 未 来 对 公有 云 、 
私有 云 以 及 混合 云 等 不 同 场景 的 扩展 支持 。 通 过 容器 技术 的 运用 ， 平 台 具 有 如 下 特点 。 


开发 者 、 个 人 用 户 、 小 微 企业 || 中 小 企业 、 快 速 增长 期 企业 || 互联 网 企业 、 成 熟 期 企业 


容器 服务 代码 构建 


资源 编排 


加 


私有 集群 
镜像 仓库 数据 库 与 缓存 外 ”弹性 伸缩 


TenxCloud 云端 管理 模块 公有 云 服 务 


面向 应 用 的 CaaS 云 平 台 


时 速 云 仅 有 集群 私有 Docker 主机 集群 


北京 1 区 国 北京 2 区 杭州 区 北美 区 自 有 云 主 机 、 虚 拟 机 、 物 理 机 


图 15-10 时速 云 微服 务 架 构 系 统 构建 架构 示意 


1. 标 准 、 轻 量 的 镜像 和 容器 技术 


为 用 户 应 用 开发 提供 统一 、 自 动 的 交付 流程 ;避免 平台 依赖 性 ， 简 单 、 快 速 的 在 不 同 平台 之 间 迁 移 ; 轻松 实现 应 用 级 别 的 版 本 控制 ， 升 级 、 回 滚 、 弹 性 伸缩 ， 以 及 监控 管理 ; 通过 操作 系统 层 的 隔离 技 


术 ， 提 高 底层 资源 的 利用 率 。 


2. 丰 富 的 镜像 服务 


平台 上 积累 了 上 万 种 镜像 服务 ， 涵 盖 了 操作 系统 、 各 种 语言 开发 环境 、 云 数据 库 、Web 服 务 器 ， 满 足 用 户 快速 上 手 使 用 和 高 级 定制 化 的 各 类 需求 。 


3. 从 代码 到 部 署 运 维 的 一 整套 自动 化 方案 


通过 集成 代码 托管 服务 (支持 GitHub、BitBucket、Coding、Gitlab 等 主要 代码 仓库 ) ， 实 现 从 代码 提交 到 自动 镜像 构建 的 持续 集成 ， 以 及 对 服务 进行 自动 更 新 的 持续 部 署 服务 ， 再 结合 平台 的 管理 运 


维 能 力 ， 大 大 减 小 应 用 开发 的 成 本 ， 并 提高 迭代 效率 。 


4. 私 有 容器 集群 


私有 容器 集群 是 “时 速 云 ” 推 出 的 最 有 特色 的 功能 之 一 。 顾 名 思 义 ，“ 和 集群 ”是 由 多 个 计算 机 组 成 ， 但 不 仅仅 是 机 器 的 堆砌 ， 作 为 一 个 整体 ， 集 群 用 来 提供 高 质量 不 间断 的 服务 ， 具 有 很 高 的 容错 性 ; 
而 集群 中 的 单个 节点 (一 般 指 机 器 ) 实现 功能 上 相同 或 者 互补 的 服务 ， 一 旦 宕 机 ， 应 用 会 快速 迁移 到 其 他 可 用 节点 ， 保 证 业务 的 连续 性 。 而 且 平 台 提 供 了 普通 、 跨 云 两 种 集群 模式 ， 适 用 于 不 同 用 户 的 场景 


需求 


通过 集群 化 的 管理 用 户 的 实体 主机 、 虚 拟 机 或 者 云 主机 上 的 资源 ， 合 理 规划 和 充分 利用 现 有 的 计算 和 存储 资源 ， 并 在 自己 的 私有 集群 上 尝试 、 运 用 镜像 和 容器 技术 ， 通 过 这 些 新 技术 推进 自己 的 产品 在 


开发 、 运 维 、 部 署 、 交 付 等 各 个 环节 上 的 变革 及 创新 ， 逐 渐 搭建 和 形成 自己 的 私有 云 架 构 。 


如 果 希 望 了 解 关 于 时 速 云 的 更 多 信息 ， 可 以 访问 官方 网 站 : https://www.tenxcloud.com。 


15.5 “本 章 小 结 


本 章 介绍 了 公有 云 服务 对 Docker 的 积极 支持 ， 以 及 新 出 现 的 容器 云 平台 。 事 实 上 ，Docker 技 术 的 出 现 自身 就 极 大 推动 了 云 计 算 行业 的 发 展 。 
通过 整合 公有 云 的 虚拟 机 和 Docker 方 式 ， 可 能 获得 更 多 的 好 处 ， 包 括 : 

“ 更 快速 的 持续 交付 和 部 署 能 力 ; 

“ 利用 内 核 级 虚拟 化 ， 对 公有 云 中 服务 器 资源 进行 更 加 高 效 的 利用 ; 


“ 利用 公有 云 和 Docker 的 特性 更 加 方便 地 迁移 和 扩展 应 用 。 


同时 ， 容 器 将 作为 与 虚拟 机 类 似 的 业务 直接 提供 给 用 户 使 用 ， 极 大 地 丰富 了 应 用 开发 和 部 署 的 场景 。 


第 16 章 ”容器 实战 思考 


在 大 量 应 用 容器 技术 到 开发 和 运 维 实践 中 之 后 ， 相 信 读 者 都 会 产生 不 少 体会 。 这 个 时 候 ， 及 时 进行 经 验 总 结 十 分 有 必要 。 


本 章 笔者 将 分 享 自己 在 实践 中 的 一 些 思考 体会 ， 包 括 开发 人 员 该 如 何 看 待 容器 ，DevOps 团 队 该 如 何 使 用 容器 ， 以 及 生产 部 署 容器 的 一 些 要 点 等 。 


16.1 ”Docker 为 什么 会 成 功 


Docker 实 现 的 种 种 基础 技术 (cgroups、namespace、 分 


层 文件 系统 ) 在 Docker 之 前 已 经 存在 很 多 年 。 并 且 ，LXC 也 在 诸多 企业 的 生产 环境 中 得 到 了 大 量 的 应 用 实践 ， 并 得 到 了 极为 明显 的 性 能 优 


势 。Google 大 规模 容器 集群 的 性 能 比 传统 虚拟 机 要 高 很 多 ， 接 近 于 Bare Metal。 与 传统 虚拟 机 相 比 ， 容 器 集群 让 这 些 公司 拥有 秒 级 而 非 分 钟 级 的 弹性 计算 伸缩 能 力 ， 同 时 使 用 更 少 的 机 器 运行 更 多 实例 。 


既然 容器 技术 有 如 此 大 的 优势 ， 为 什么 Docker 之 前 ， 容 器 并 没有 引发 广泛 的 关注 呢 ? 核 心 的 问题 在 于 易 用 性 ， 而 Docker 解 决 了 这 个 问题 。 


Docker 首 次 创造 了 一 种 简单 易 行 并 且 履 盖 应 用 全 生命 周期 的 工作 流 ， 用 户 可 以 通过 简单 的 指令 或 Restful APl 来 拉 取 、 打 包 、 运 行 和 维护 容器 。 这 种 简化 从 根本 上 降低 了 应 用 程序 部 署 的 难度 ， 极 大 地 提 


高 了 应 用 运行 时 环境 的 部 署 与 维护 的 效率 。 


Docker 提 供 了 一 种 统一 的 实践 方法 ， 每 个 服务 (或 应 


序 及 其 运行 时 环境 全 部 打包 到 一 个 简单 易 读 的 Dockerfile 或 Compose 文 件 中 ， 开 发 团队 和 运 维 团队 都 可 以 透明 地 合作 维护 这 个 文件 ， 极 大 降低 了 沟通 成 本 与 部 署 成 本 ， 极 大 满足 了 研发 团队 与 DevOps 团 


队 、 运 维 团队 之 间 的 沟通 需求 ， 清 晰 划分 了 责任 边界 。 


Docker 正 以 一 种 前 所 未 有 的 方式 让 用 户 可 以 在 各 种 Linux 发 行 版 、 各 种 
境 变量 ) 和 应 用 程序 。 系 统 架构 师 们 也 可 以 使 


Docker 来 快速 搭建 各 种 网 络 架构 的 系统 ， 


户 可 以 不 依赖 类 似 Ansible、Chef、Puppet 这 类 的 配置 管理 和 发 布 系统 ， 不 需要 在 部 署 中 同时 关注 基础 系统 与 软件 的 安装 配置 ， 以 及 应 用 的 安装 调试 。 


) 维护 一 个 Dockerfile 文 件 。 即 便 使 用 编排 工具 如 Docker Compose， 一 个 服务 (或 应 用 ) 也 只 需 维护 一 个 docker-compose.yml 文 件 。 应 用 程 


发 环境 中 快速 切换 ， 这 对 应 用 开发 者 来 说 真是 一 种 福音 。 使 用 各 种 开发 环境 的 用 户 ， 再 也 不 必 担心 破坏 主机 的 系统 环境 (如 环 
可 以 方便 地 管理 这 些 系统 之 间 的 数据 连接 和 共享 。 目 前 Docker 发 展 迅 速 ， 基 于 Docker 的 Paas 平 台 也 层出不穷 。 


这 让 技术 创业 者 无 需 折腾 服务 器 部 署 ， 只 需 专注 业务 代码 的 实现 即 可 。 


真正 解决 用 户 痛 点 ， 真 正 带 来 效率 的 提升 ， 是 一 个 产品 和 技术 能 最 终 成 功 的 关键 ! 


16.2 ”研发 人 员 该 如 何 看 容器 


很 多 研发 工程 师 经 常会 问 : 我 是 搞 开发 的 ， 容 器 技术 跟 我 有 关 么 ”其 实 ， 笔 者 在 实践 过 程 中 发 现 ， 合 理应 用 容器 技术 ， 不 光 能 极 大 提升 开发 效率 ， 也 能 提升 自身 技术 水 平 。 


1. 快 速 上 手 新 技术 


众所周知 ， 新 技术 的 学 习 往往 从 学 习 简 和 


现实 生活 中 , 简 


示例 (例如 He 


a 的 事物 背后 往往 蕴 合 着 复杂 的 机 制 。 


越 来 越 方便 。 但 学 习 成 本 仍然 


通过 Docker 的 使 用 ， 
即 任何 应 用 都 可 以 构建 、 发 布 、 运 行 于 任何 环境 。Docker 将 环境 的 影响 


App, Anywhere, 


居 高 不 下 ， 各 大 编程 语言 论坛 中 关于 环境 安装 的 问题 总 是 


lo World) 开始 。 这 是 学 习 新 知识 的 标准 思路 : 最 小 系统 原则 ， 即 从 变量 最 少 的 最 小 系统 开始 ， 循 序 渐进 地 学 习 。 


户 在 构建 最 小 系统 的 时 候 ， 首 先 面 对 的 就 是 其 母 环 境 (或 者 说 前 置 条件 ) 的 搭建 。 虽 然 随 着 程序 语言 和 系统 程序 的 发 展 ， 语 言 和 工具 都 设计 得 


层出不穷 。 


户 可 以 将 精力 和 注意 力 都 尽快 地 放 在 语言 本 身 的 学 习 上 ， 而 无 需 折腾 系统 环境 的 各 种 配置 。Docker 官 网 的 口号 就 包含 了 以 上 含义 : Build, Ship and Run Any 


因 


素 降 至 最 低 ， 使 开发 者 能 统一 地 掌控 整个 应 用 的 生命 周期 。 


目前 Docker 官 方 支持 的 编程 语言 镜像 就 有 十 几 种 ， 涵 盖 所 有 的 主流 编程 语言 的 开发 环境 。 除 此 之 外 ， 常 用 数据 库 、 绥 存 系统 、 主 流 Web 框 架 等 都 有 官方 的 镜像 。 除 此 之 外 ，Docker Hub 还 提供 了 丰富 
的 第 三 方 镜像 和 Dockerfile。 


2. 容 器 化 的 代码 仓库 


经 常 整理 和 收集 常 


在 技术 团队 中 ， 为 何 


代码 库 往往 是 软件 工程 | 


然后 需要 解决 实践 中 的 各 种 “ 坑 ” 。 而 资深 工程 师 接手 


3 外 ， 研 发 过 程 中 的 


地 


回 


向 业务 编程 


各 种 发 布 版 本 ， 也 可 以 


币 实 现 高 效 交付 的 “秘诀 ”。 


行业 新 人 和 资深 工程 师 之 间 的 生产 力 可 以 有 几 倍 甚至 几 十 倍 的 差距 呢 ? 暂且 不 论 眼 界 思 路 和 基础 技能 的 差距 ， 同 样 是 做 一 件 任务 ， 新 人 接手 后 首先 面 对 的 就 是 思路 和 工具 的 抉择 ， 


于 ， 可 以 快速 规划 所 需要 的 资源 ， 并 在 最 短 时 间 内 利用 积累 的 模块 搭建 起 系统 ， 从 而 可 以 快速 完成 任务 。 


软件 开发 ， 除 非 是 算法 比赛 ， 在 本 质 上 是 要 能 解决 业务 问题 ， 满 足 需求 方 的 要 求 。 


最 近 几 年 ， 各 种 新 的 技术 和 工具 


笔者 根据 Docker 的 特性 ， 给 出 一 个 可 行 方案 : 使 
的 Restful API Sever 呢 ? 读者 可 以 去 Docker Hub 搜 索 适 合 做 API 服 务 器 的 Python 快速 


可 见 ， 容 器 技术 可 以 帮助 软件 工程 师 更 加 专注 的 面 


4. 使 用 Docker Hub 发 布 开源 项 目 


层出不穷 ， 虽然 万 变 不 离 其 


技术 人 员 从 社 


区 借鉴 和 学 习 各 种 好 用 的 工具 和 技能 


向 业务 需求 ， 快 速 启 用 新 技能 。 


Docker 容 器 的 方式 保存 。 以 后 遇 到 类 似 的 需求 ， 可 以 直接 运行 ， 调 试 并 复 用 代码 。 


宗 ， 但 能 快速 掌握 新 的 业务 需求 和 新 的 技术 栈 ， 是 对 一 个 优秀 技术 人 员 的 迫切 要 求 。 


Docker 快 速 掌握 新 技术 要 点 并 完成 适当 的 技术 储备 。 假 定 读者 是 Python 技术 栈 的 后 端 工程 师 ， 熟 悉 常规 网 站 的 后 台 建 设 ， 那 么 如 何 快速 实现 移动 应 
发 框架 ， 根 据 自身 业务 需求 修改 Dockerfile， 定 制 符合 要 求 的 镜像 ， 然 后 快速 启动 一 套 能 满足 相关 AP|I 的 系统 。 


时 ， 也 需要 积极 反馈 于 社区 ， 共 同 营造 一 个 良好 的 生态 环境 。 


笔者 在 此 建议 : 读者 如 果 参 与 开源 项 目的 建设 ， 那 么 可 以 通过 Docker 完 成 程序 的 打包 、 测 试 、 发 布 和 部 署 ， 通 过 Docker Hub 来 管理 和 维护 镜像 。 这 样 可 以 统一 又 清晰 地 管理 整个 开源 项 目 。 


16.3 ”容器 化 开发 模式 


传统 模式 中 ， 开 发 团 


队 在 开发 环境 中 完成 软件 开发 


， 本 地 完成 单元 测试 ， 测 试 通过 ， 则 可 提交 到 代码 版 本 管理 库 ;， 测试 团队 打包 进行 进一步 测试 。 运 维 团队 把 应 用 部 署 到 测试 环境 ， 开 发 团队 或 测试 团 


队 再 次 进行 测试 ， 没 问题 后 通知 部 署 人 员 发 布 到 生产 环境 。 


在 上 述 过 程 中 涉及 三 个 环境 : 开发 、 测 试 和 生产 ， 以 及 三 个 团 


在 容器 模式 中 


,应 


下 面 比较 了 两 种 模式 下 的 不 同 流程 ， 如 图 16-1 所 示 。 


1. 操 作 流程 


在 容器 化 的 应 


中 ， 


项 目 架构 师 和 开发 人 员 的 作 


贯穿 整个 开发 、 测 试 、 生 产 三 个 环节 。 


队 : 开发 、 测 试 、 运 维 。 多 个 环境 和 多 个 团队 之 间 的 这 种 交互 ， 很 容易 出 现 彼此 环境 不 一 致 的 情况 ， 浪 费 不 必要 的 人 力 物 力 。 


是 以 容器 的 形式 存在 ， 所 有 和 该 应 用 相关 的 依赖 都 会 在 容器 中 ， 因 此 移植 非常 方便 ， 不 会 存在 像 传统 模式 那样 的 环境 不 一 致 的 情况 。 


项 目 伊始 ， 架 构 师 根据 项 目 预 期 创建 好 需要 的 基础 base 镜 像 ，nginx、tomcat、mysq 人 镜像 或 者 将 Dockerfile 分 发 给 所 有 开发 人 员 ， 所 有 开发 人 员 根 据 Dockerfile 创 建 的 容器 或 者 从 内 部 仓库 下 载 的 镜像 
进行 开发 ， 达 到 开发 环境 的 充分 一 致 。 若 开发 过 程 中 需要 添加 新 的 软件 ， 只 需要 向 架构 师 申 请 修改 基础 base 镜 像 的 Dockerfile 即 可 。 


开发 任务 结束 后 ， 架 构 师 调 整 Dockerfile 或 者 Docker 镜 像 ， 然 后 分 发 给 测试 部 门 ， 测 试 部 门 马上 就 可 以 进行 测试 ， 消 除了 部 署 困 难 等 难 缠 的 问题 。 


开发 部 门 项 目 开发 


开发 部 门 利 用 镜像 
进行 开发 


测试 部 门 进行 测试 


测试 部 门 进行 测试 


有 问题 


无 问题 无 问题 


a) 传统 开发 流程 b) 容器 化 开发 流程 
图 16-1 ”传统 模式 vs 容器 模式 下 的 工作 流程 比较 
2. 场 景 示例 
假定 对 于 一 个 200 人 左右 的 软件 企业 ， 主 要 使 用 Java 作 为 开发 语言 ， 使 用 Tomcat、Weblogic 作 为 中 间 件 服务 器 ， 后 台数 据 库 使 用 Oracle、MySQL 等 。 


在 应 用 容器 之 前 ， 开 发 到 测试 的 流程 如 图 16-2 所 示 。 


可 见 ， 就 是 因为 环境 的 不 一 样 ， 开 发 、 测 试 、 运 维 三 个 部 门 做 了 很 多 重复 的 工作 。 


而 容器 正好 可 以 解决 这 个 问题 ， 大 大 简化 了 工作 流程 ， 如 图 16-3 所 示 。 


3 .注意 事项 


首先 ， 在 开发 和 测试 环境 中 ， 推 荐 使 用 -v 共 享 文件 夹 来 存储 开发 人 员 的 程序 代码 ， 避 免 频繁 打包 操作 。 


其 次 ， 利 用 基础 base 镜 像 的 继承 特性 来 调整 镜像 的 轻微 变更 。 例 如 当 需 要 测试 程序 对 不 同 版 本 JDK 的 支持 情况 时 ， 只 需 改变 base 镜 像 的 JDK 设 置 ， 然 后 其 他 依赖 它 的 镜像 在 重新 创建 的 过 程 中 就 可 以 自 
动 完成 更 新 。 


最 后 ， 测 试 部 门 应 当 注 意 Docker 以 及 镜像 的 版 本 ， 并 经 常 对 部 署 后 的 应 用 程序 进行 性 能 上 的 测试 。 


测试 部 门 的 服务 器 和 生产 环 
境 不 一 样 ， 测 试 部 门 做 了 的 
工作 ， 到 了 运 维 部 门 又 得 重 
新 做 


新 功能 用 
本 地 功能 测 i 


本 地 环境 


测试 部 服务 需 生产 服务 器 
nginx nginx 
tomact/weblogic tomact/weblogic 
mysql/oracle mysql/oracle 


16-2 ”传统 的 开发 流程 


项 目 架 构 师 


Dockerfile 
nginx 容 需 
tomcat 容 需 
mysql 容 需 


姑妈 但 如 站 入 复 偶 
开发 部 门 测试 部 门 运 维 部 门 


16-3 利用 容器 环境 开发 的 流程 


16.4 ”容器 与 生产 环境 


不 同 的 产品 技术 团队 对 生产 环境 可 能 有 不 同 的 解读 。 在 这 里 ， 生 产 环境 是 指 企业 运行 其 商业 应 用 的 IT 环境 ， 是 相对 于 开发 环境 、 预 发 布 环境 和 测试 环境 而 言 的 。 


在 生产 环境 中 ， 容 器 既 可 以 作为 API 后 端 服务 器 ， 也 可 以 作为 业务 应 用 的 Web 服 务 器 ， 还 可 以 作为 微服 务 中 的 服务 节点 。 但 是 不 管用 户 将 容器 用 于 哪 种 场景 ， 在 生产 环境 中 运行 容器 与 其 他 环境 相 比 ， 
在 安全 性 与 稳定 性 等 方面 都 存在 更 高 要 求 。 


Docker 算 是 IT 生产 环境 与 基础 设施 的 新 成 员 。 近 些 年 ，Docker 在 DevOps 和 基础 设施 领域 中 快速 风靡 起 来 。Google、IBM、Amazon、Microsoft， 以 及 几乎 所 有 云 计 算 供 应 商都 宣布 支持 Docker。 很 
多 容器 领域 中 的 创业 公司 都 在 2014 年 或 2015 年 初 获得 了 风险 投资 。 同 时 ，Docker 公 司 在 2015 年 的 估 值 也 达到 了 10 亿 美元 。 


尽管 Docker 获 得 广大 公有 云 厂 商 的 大 力 支持 ,但 是 目前 容器 技术 生态 中 已 经 存在 许多 分 支 与 分 歧 ， 如 rkt 项 目 。 为 了 解决 容器 生态 中 的 差异 化 问题 ,为 了 从 根本 上 解决 生产 环境 中 运用 Docker 的 风 
险 ，Google、Intel、Microsoft、IBM、Amazon、VMware、Oracle、HPE、Facebook 等 IT 巨头 于 2015 年 6 月 共同 宣布 成 立 OC| (Open Container Initiative) 组 织 [1]。OCI 组 织 的 目标 在 于 建立 通用 的 
容器 技术 标准 。 除 了 保障 与 延续 既 有 容器 服务 的 生命 周期 外 ， 还 通过 不 断 推 出 标准 的 创新 的 容器 解决 方案 赋 能 开发 者 。 而 OCI 成 员 企业 也 会 秉持 开放 、 安 全 、 弹 性 等 核心 价值 观 来 发 展 容器 生态 。 客 观 而 
言 ，OCI 组 织 的 出 现 确立 了 容器 技术 的 标准 ， 避 免 容 器 技术 被 单一 厂商 人 垄断。 统一 技术 标准 后 ， 广 大 企 担心 未 来 新 兴 的 容器 技术 不 兼容 Docker。 


2016 年 开始 ， 大 量 企业 的 应 用 开始 云 化 ， 部 分 已 经 云 化 的 企业 ， 开 始 实施 全 面容 器 化 和 微服 务 化 。 不 过 ， 用 户 不 应 该 把 容器 当做 “ 银 弹 ”， 并 不 是 所 有 应 用 和 服务 都 适合 容器 化 。 对 于 “12 要 素 ”中 类 
型 应 用 ， 容 器 化 是 非常 容易 和 平滑 的 。 因 为 这 些 应 用 是 无 状态 的 ， 而 且 它 们 在 微服 务 架构 中 可 以 在 很 短 时 间 内 完成 启 停 ， 高 度 保证 了 整个 服务 的 可 用 性 。 传 统 数 据 库 或 有 状态 应 用 、 对 网 络 吞吐 性 能 有 高 
求 的 应 用 并 不 适合 容器 化 。 


可 以 说 ， 绝 大 部 分 的 分 层 架构 的 企业 架构 ， 都 可 以 平滑 地 在 生产 环境 中 容器 化 。 而 绝 大 部 分 完成 容器 化 的 企业 架构 ， 都 可 以 通过 代码 重 构 完成 微服 务 化 ， 这 样 可 以 从 服务 层面 进一步 提高 可 用 性 ， 进 一 
步 降低 IT 固定 成 本 。 降 低 持续 集成 与 部 署 成 本 。 


现在 越 来 越 多 的 企业 正在 生产 环境 中 使 用 Docker，Docker 镜 像 下 载 量 在 2014 年 12 月 是 6700 万 ,一 年 后 , 镜像 下 载 量 上 逢 到 了 12 亿 。 最 近 某 容器 服务 的 研究 显示 ， 八 成 的 |T 从 业者 了 解 和 接触 过 
Docker， 四 成 的 组 织 目 前 正在 生产 环境 中 使 用 Docker， 预 计 这 个 比例 会 在 未 来 两 年 内 还 会 继续 上 升 。 


在 生产 环境 中 使 用 容器 时 ， 需 要 考虑 几 个 问题 ， 下 面 的 建议 供 大 家 参考 : 


:如果 Docker 出 现 不 可 控 的 风险 ， 是 否 考虑 了 备 选 的 解决 方案 ; 
“ 是 否 需要 对 Docker 容 器 做 资源 限制 ， 以 及 如 何 限制 ， 恕 CPU、 内存、 网络、 磁盘 等 ; 


“ 目前 ，Docker 对 容器 的 安全 管理 做 得 不 够 完善 ， 在 应 用 到 生产 环境 之 前 可 以 使 用 第 三 方 工具 来 加 强 容器 的 安全 管理 。 如 使 用 apparmot 对 容器 的 能 力 进 行 限 制 、 使 用 更 加 严格 的 iptable 规 则 、 人 禁止 root 用 
户 登 录 、 限 制 普 通用 户 权限 以 及 做 好 系统 日 志 的 记录 ; 


“ 公司 内 部 私有 仓库 的 管理 、 镜 像 的 管理 问题 是 否 解决 。 目 前 官方 提供 的 私有 仓库 管理 工具 功能 并 不 十 分 完善 ， 若 在 生产 环境 中 使 用 还 需要 更 多 的 工作 。 


[HOCI 组 织 官网 : https://www.opencontainers.org/ 


[中 12 Factor App: https://12factor.net/ ， 本 书后 面 第 28 章 也 介绍 了 这 个 概念 。 


16.5 本章 小 结 


本 章 主要 介绍 了 在 实战 中 使 用 容器 技术 的 一 些 思考 。 信 息 技术 行业 是 前 所 未 有 的 一 个 快速 变革 的 行业 ， 极 其 注重 效率 和 可 靠 性 。 一 直 以 来 ， 产 品 研发 流程 中 最 让 人 头痛 的 一 点 就 是 研发 周期 管理 。 无 论 
是 传统 模式 还 是 快速 和 迭代、 瀑布 流 ， 都 需要 有 完善 的 代码 周期 支持 。 容 器 化 毫 无 疑问 地 契合 了 这 一 需求 ， 为 产品 研发 带 来 了 生产 力 的 提升 。 


笔者 认为 ， 自 容器 之 后 ， 信 息 产 业 将 会 上 升 到 一 个 更 高 的 阶段 ， 更 多 的 生产 力 将 被 解放 去 攻克 核心 的 技术 问题 。 在 这 个 过 程 中 ， 技 术 人 员 要 主动 拥抱 变化 ， 早 日 掌握 新 时 代 的 工作 模式 和 核心 技能 。 


三 部 分 ” 进 阶 技能 


“ 第 17 章 ，Docker 核 心 实现 技术 

“第 18 章 ”配置 私有 仓库 

“ 第 19 章 ”安全 防护 与 配置 

“第 20 章 高 级 网 络 功 能 

. 第 21 章 libnetwork 插 件 化 网 络 功能 

经 过 前 两 部 分 的 详细 讲解 和 案例 实践 ， 相 信 读 者 已 经 熟练 掌握 了 Docker 相 关 的 常见 操作 和 应 用 技巧 。 但 要 想 在 实践 中 灵活 运用 ， 还 需要 大 量 的 练习 。 
那么 ，Docker 是 如 何 实现 的 ? 它 目前 有 何 问 题 ? 它 的 技术 生态 环境 是 否 已 经 成 长 起 来 了 ? 接 下 来 ， 笔 者 将 在 第 三 部 分 介绍 Docker 相 关 的 进 阶 技能 ， 本 部 分 共有 5 章 内 容 。 
第 17 章 介绍 Docker 的 核心 实现 技术 ， 包 括 架构 、 命 名 空间 、 控 制 组、 联合 文件 系统 、 庶 拟 网 络 等 技术 话题 。 

第 18 章 介绍 使 用 Docker Registry 来 创建 和 管理 私有 的 镜像 仓库 。 

第 19 章 从 命名 空间 、 控 制 组 、 内 核能 力 、 服 务 端 、 第 三 方 工具 等 角度 来 剖析 保障 Docker 安 全 的 相关 手段 。 

第 20 章 具体 讲解 Docker 使 用 网 络 的 一 些 高 级 配置 等 ， 并 分 析 底层 实现 的 技术 过 程 。 


最 后 ， 在 第 21 章 笔者 还 将 介绍 Docker 强 大 的 插件 化 网 络 支 持 -libnetwork， 支 持 更 多 的 网 络 应 用 场景 。 


第 17 章 ”Docker 核 心 实 现 技 术 


作为 一 种 容器 虚拟 化 技术 ，Docker 深 度 应 用 了 操作 系统 的 多 项 底层 支持 技术 。 


早期 版 本 的 Docker 是 基于 已 经 成 熟 的 Linux Container (LXC) 技术 实现 的 。 自 Docker 0.9 版 本 起 ，Docker 逐 渐 从 LXC 转 移 到 新 的 libcontainer (https://github.com/docker/libcontainer) 上 , 并 且 
积极 推动 开放 容器 规范 runc， 试 图 打造 更 通用 的 底层 容器 虚拟 化 库 。 


从 操作 系统 功能 上 看 ， 目 前 Docker 底 层 依赖 的 核心 技术 主要 包括 Linux 操 作 系统 的 命名 空间 (Namespace) 、 控 制 组 (Control Group) 、 联 合 文件 系统 (Union File System) 和 Linux 网 络 虚 拟 化 支 
持 。 本 章 将 介绍 这 些 核心 技术 的 实现 。 


17.1 基本 架构 


[ 


Docker 目 前 采用 了 标准 的 C/S 架 构 ， 如 图 17-1 所 示 。 客 户 端 和 服务 端 既 可 以 运行 在 一 个 机 器 上 ， 也 可 运行 在 不 同 机 器 上 通过 socket 或 者 RESTful APl 来 进行 通信 。 


$docker pull 


i $docker run 
Docker 服务 端 ”“ 一 -9docker push Docker 客户 端 


17-1 Docker 采 用 了 C/S 架 构 


1. 服 务 端 


Docker Daemon 一 般 在 宿主 主机 后 台 运 行 ， 作 为 服务 端 接受 来 自 客户 的 请 求 ， 并 处 理 这 些 请 求 创建、 运行、 分 发 容器 ) 。 


在 设计 上 ，Docker Daemon 是 一 个 模块 化 的 架构 ， 通 过 专门 的 Engine 模 块 来 分 发 管理 各 个 来 自 客户 端的 任务 。 


Docker 服 务 端 默 认 监 听 本 地 的 unix:///var/run/docker.sock 套 接 字 ， 只 人 允许 本 地 的 root 用 户 或 docker 用 户 组 成 员 访 问 。 可 以 通过 -H 选 项 来 修改 监听 的 方式 。 


例如 ， 让 服务 端 监听 本 地 的 TCP 连 接 1234 端 口 ， 如 下 所 示 : 


$ docker daemon -H 0.0.0.0:1234 

WARN[0000] /!\ DON'T BIND ON ANY IP ADDRESS WITHOUT setting -tlsverify IF YOU 
DON'T KNOW WHAT YOU'RE DOING /!\ 

INFO[0000] New containerd process, pid: 22385 

INFO[0001] [graphdriver] using prior storage driver "aufs" 

INFO[0001] Graph migration to content-addressability took 0.00 seconds 

INFO[0001] Firewalld running: false 

INFO[0001] Default bridge (docker0) is assigned with an IP address 172.17.0.0/16. 
Daemon option --bip can be used to set a preferred IP address 

WARN[0002] Your kernel does not support swap memory limit. 

WARN[0002] mountpoint for pids not found 

INFO[0002] Loading containers: start. 
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此 外 ，Docker 还 支持 通过 HTTPS 认 证 方式 来 验证 访问 。 
总 


Debian/Ubuntu 14.04 等 使 用 upstart 管 理 启动 服务 的 系统 中 ，Docker 服 务 端的 默认 启动 配置 文件 在 /etc/default/docker。 对 于 使 用 systemd 管 理 启动 服务 的 系统 ， 配 置 文件 


在 /etc/systemd/system/docker.setvice.d/docket.conf。 


2. 客 户 端 


Docker 客 户 端 为 用 户 提供 一 系列 可 执行 命令 ， 用 户 用 这 些 命令 与 Docker Daemon 交 互 。 


户 执行 新 的 命令 ， 需 要 再 次 调 


户 使 用 的 Docker 可 执行 命令 即 为 客户 端 程序 。 与 Docker Daemon 不 同 的 是 ， 客 户 端 发 送 命令 后 ， 等 待 服务 端 返 回 ， 一 旦 收 到 返回 后 ， 客 户 端 立刻 执行 结束 并 退出 。 


客户 端 命令 。 


同样 ， 客 户 端 默认 通过 本 地 的 unix:///var/run/docker.sock 套 接 字 向 服务 端 发 送 命令 。 如 果 服务 端 没 有 监听 在 默认 的 地 址 ， 则 需要 客户 端 在 执行 命令 的 时 候 显 式 指定 服务 端 地 址 。 


例如 ， 假 定 服务 端 监听 在 本 地 的 TCP 连 接 1234 端 口 tcp://127.0.0.1: 1234， 只 有 通过 -H 参 数 指定 了 正确 的 地 址 信息 才能 连接 到 服务 端 ， 如 下 所 示 : 


$ docker version 


Client: 
Version: 1.12,0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Sep 28 22:00:36 2016 
OS/Arch: linux/amd64 


Cannot connect to the Docker daemon. Is the docker daemon running on this host? 
$ docker -H tcp://127.0.0.1:1234 version 
Client: 

Version: 二 全. 

API version: 1.24 

Go version: go1.6.3 

Git commit: 8eab29e 


Built: Thu Sep 28 22:00:36 2016 
OS/Arch: linux/amd64 

Server: 
Version: i120 


API version: 1.24 

Go version: go1.6.3 

Git commit: 8eab29e 

Built: Thu Sep 28 22:00:36 2016 
OS/Arch: linux/amd64 


3 新 的 架构 设计 


在 Docker 主 机 上 的 容器 也 往往 无 法 继续 使 用 。 


应 该 说 ，C/S 架 构 给 Docker 基 本 功能 的 实现 带 来 了 许多 便利 ， 但 同时 也 引入 了 一 些 限制 。 


读者 朋友 们 可 能 发 现 ， 使 用 Docker 时 ， 必 须要 启动 并 保持 Docker Daemon 的 正常 运行 ， 它 既 要 管理 容器 的 运行 时 ， 又 


负责 提供 对 外 部 API 的 响应 。 而 一 旦 Docker Daemon 服 务 不 正常 ， 则 已 经 运行 


Docker 团 队 已 经 意识 到 了 这 个 问题 ， 在 较 新 的 版 本 (1.11.0+) 中 ， 开 始 将 维护 容器 运行 的 任务 放 到 一 个 单独 的 组 件 containerd 中 来 管理 ， 并 且 支 持 OCI 的 runc 规 范 。 原 先 的 对 客户 端 API 的 支持 则 仍然 
放 在 Docker Daemon， 通 过 解 厅 ， 大 大 减少 了 对 Docker Daemon 的 依赖 。 


同时 ， 新 的 架构 提高 了 启动 容器 的 速度 ， 一 项 测试 表明 ， 可 以 达到 每 秒 启动 超过 100 个 容器 。 


17.2 命名 空间 


网 络 就 能 隔离 开 来 。Docker 采 
图 17-2 所 示 。 


如 


命名 空间 (namespace) 是 Linux 内 核 的 一 个 强大 特性 ， 为 容器 虚拟 化 的 实现 带 来 极 大 便利 。 


利用 这 一 特性 ， 每 个 容器 都 可 以 拥有 自己 单独 的 命名 空间 ， 运 行 在 其 中 的 应 用 都 像 是 在 独立 的 操作 系统 环境 中 一 样 。 命 名 空间 机 制 保证 了 容器 之 间 彼 此 互 不 影响 。 


在 操作 系统 中 ， 包 括 内 核 、 文 件 系统 、 网 络 、PID、UID、IPC、 内 存 、 硬 盘 、CPU 等 资源 ， 所 有 的 资源 都 是 应 用 进程 直接 共享 的 。 要 想 实 现 虚拟 化 ， 除 了 要 实现 对 内 存 、CPU、 网 络 IO、 硬 盘 IO、 存 储 
空间 等 的 限制 外 ， 还 要 实现 文件 系统 、 网 络 、PID、UID、IPC 等 的 相互 隔离 。 前 者 相对 容易 实现 一 些 ， 后 者 则 需要 宿主 主机 系统 的 深入 支持 。 


随 着 Linux 系 统 对 于 命名 空间 功能 的 逐步 完善 ， 现 在 已 经 可 以 实现 这 些 需求 ， 让 进程 在 彼此 隔离 的 命名 空间 中 运行 。 虽 然 这 些 进程 仍 在 共用 同一 个 内 核 和 某 些 运行 时 环境 (runtime， 例 如 一 些 系统 命令 
和 系统 库 ) ， 但 是 彼此 是 不 可 见 的 ， 并 且 认 为 自己 是 独占 系统 的 。 


1 .进程 命 名 空间 


Linux 通 过 命名 空间 管理 进程 号 ， 对 于 同一 进程 ( 即 同一 个 task_struct) ， 在 不 同 的 命名 空间 中 ， 看 到 的 进程 号 不 相同 ， 每 个 进程 命名 空间 有 一 套 自 己 的 进程 号 管理 方法 。 进 程 命名 空间 是 一 个 父子 关系 
的 结构 ， 子 空间 中 的 进程 对 于 父 空间 是 可 见 的 。 新 fork 出 的 进程 在 父 命名 空间 和 子 命名 空间 将 分 别 有 一 个 进程 号 来 对 应 。 


例如 ， 查 看 Docker 主 进程 的 pid 进 程 号 是 5989， 如 下 所 示 : 


$ ps -ef |grep docker 
root 5989 5988 0 14:38 Pts/6 00:00:00 docker -da 


新 建 一 个 Ubuntu 的 “hello world” 容 器 : 


$ docker run -d ubuntu:14.04 /bin/sh -c "while true; do echo hello world; 
Sleep 1; done" 
ec559327572b5bf99d0f80b98ed3a3b62023844c7fdbea3f8caed4ffa5c62e86 
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查看 新 建 容 器 进程 的 父 进程 ， 正 是 Docker 主 进程 5989: 


$ ps -ef |grep while 
root 6126 5989 0 14:41 ? 00:00:00 /bin/sh -c while true do echo 
hello world; sleep 1; done 


2. 网 络 命名 空间 


如 果 有 了 pid 命 名 空间 ， 那 么 每 个 命名 空间 中 的 进程 就 可 以 相互 隔离 ， 但 是 网 络 端口 还 是 共享 本 地 系统 的 端口 。 


通过 网 络 命名 空间 ， 可 以 实现 网 络 隔离 。 网 络 命名 空间 为 进程 提供 了 一 个 完全 独立 的 网 络 协议 栈 的 视图 ， 包 括 网 络 设备 接口 、 
虚拟 网 络 设备 (Virtual Network Device) 的 方式 ， 将 不 同 命名 空间 的 网 络 设备 连接 到 一 起 。 默 认 情 况 下 ， 容 器 中 的 虚拟 网 卡 将 同 本 地 主机 上 的 docker0 网 桥 连 接 在 一 起 ， 


1IPv4 和 1Pv6 协 议 栈 、IP 路 由 表 、 防 火 墙 规则 、sockets 等 ， 这 样 每 个 容器 的 


容 逢 名字 空 间 容 估 名 字 空 间 


物理 主机 


图 17-2 ”网 络 命名 空间 


使 用 brctl 工 具 可 以 看 到 桥接 到 宿主 主机 docker0 网 桥 上 的 虚拟 网 


$ brct1 show 


bridge name bridge id STP enabled interfaces 

docker0 8000.56847afe9799 no veth4148 
vethd166 
vethd533 


3.IPC 命 名 空间 


容器 中 进程 交互 还 是 采用 了 Linux 常 见 的 进程 间 交 互 方法 (Interprocess Communication，IPC) ， 包 括 信号 量 、 消 息 队列 和 共享 内 存 等 。PID Namespace 和 IPC Namespace 可 以 组 合 起 来 一 起 使 


， 同 一 个 IPC 命 名 空间 内 的 进程 可 以 彼此 可 见 ， 允 许 进行 交互 ;不 同 空间 的 进程 则 无 法 交互 。 
4. 挂 载 命 名 空间 
类 似 于 chroot， 将 一 个 进程 放 到 一 个 特定 的 目录 执行 。 挂 载 命名 空间 允许 不 同 命名 空间 的 进程 看 到 的 文件 结构 不 同 ， 这 样 每 个 命名 空间 中 的 进程 所 看 到 的 文件 目录 彼此 被 隔离 。 


5.UTS 命 名 空间 


UTS (UNIX Time-sharing System) 命名 空间 允许 每 个 容器 拥有 独立 的 主机 名 和 域名 ， 从 而 可 以 虚拟 出 一 个 有 独立 主机 名 和 网 络 空间 的 环境 ， 就 跟 网 络 上 一 台独 立 的 主机 一 样 。 


默认 情况 下 ，Docker 容 器 的 主机 名 就 是 返回 的 容器 ID : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ec559327572b ubuntu:14.04 /bin/sh -c 'while tr 18 minutes ago 
Up 18 minutes furious goodall 
$ docker inspect -f {{".Config.Hostname"}} ec5 
ec559327572b 
6. 用 户 命名 空间 


每 个 容器 可 以 有 不 同 的 用 户 和 组 id， 也 就 是 说 可 以 在 容器 内 使 用 特定 的 内 部 用 户 执行 程序 ， 而 非 本 地 系统 上 存在 的 用 户 。 


每 个 容器 内 部 都 可 以 有 root 帐 号 ， 但 跟 宿主 主机 不 在 一 个 命名 空间 。 


通过 使 用 隔离 的 用 户 命名 空间 可 以 提高 安全 性 ， 避 免 容器 内 进程 获取 到 额外 的 权限 。 


17.3 ”控制 组 


控制 组 (CGroups) 是 Linux 内 核 的 一 个 特性 ， 主 要 用 来 对 共享 资源 进行 隔离 、 限 制 、 审 计 等 。 只 有 能 控制 分 配 到 容器 的 资源 ， 才 能 避免 多 个 容器 同时 运行 时 对 宿主 机 系统 的 资源 竞争 。 


控制 组 技术 最 早 是 由 Google 的 程序 员 2006 年 起 提出 ，Linux 内 核 自 2.6.24 开 始 原生 支持 。 控 制 组 可 以 提供 对 容器 的 内 存 、CPU、 磁 盘 1O 等 资源 进行 限制 和 计 费 管理 。 控 制 组 的 设计 目标 是 为 不 同 的 应 
情况 提供 统一 的 接口 ， 从 控制 单一 进程 (比如 nice 工 具 ) 到 系统 级 虚拟 化 (包括 OpenVZ、Linux-VServer、LXC 等 ) 。 


具体 来 看 ， 控 制 组 提供 : 


“ 资源 限制 (Resource limiting) : 可 以 将 组 设置 为 不 超过 设 定 的 内 存 限制 。 比 如 : 内 存 子 系统 可 以 为 进程 组 设 定 一 个 内 存 使 用 上 限 ， 一 旦 进程 组 使 用 的 内 存 达 到 限额 再 申请 内 存 ， 就 会 出 发 Dut of 


Memory 和 警告 。 
“ 优先 级 (Prioritization) : 通过 优先 级 让 一 些 组 优先 得 到 更 多 的 CPU 等 资源 。 
“ 资源 审计 (Accounting) : 用 来 统计 系统 实际 上 把 多 少 资源 用 到 适合 的 目的 上 ， 可 以 使 用 cpuacct 子 系统 记录 某 个 进程 组 使 用 的 CPU 时 间 。 
“ 隔离 (isolation) : 为 组 隔离 命名 空间 ， 这 样 一 个 组 不 会 看 到 另 一 个 组 的 进程 、 网 络 连接 和 文件 系统 。 


' 控制 (Control) : 挂 起 、 恢 复 和 重启 动 等 操作 。 


安装 Docker 后 ， 用 户 可 以 在 /sys/fs/cgroup/memory/docker/ 目 录 下 看 到 对 Docker 组 应 用 的 各 种 限制 项 ， 包 括 : 


$ cd /sys/fs/cgroup/memory/docker 
$ 1s 
1b3591fb9451d11292f2ce074d786f46fa68b37d1c483c241c63d69ab4335a50 
memory.kmem.limit in bytes memory.limit in bytes 
memory. swappiness 
6cacle322cb8fd185b8ee5d60e049b2b5d86c6a51b7457523b368£f025fe57b2c 
memory. kmem.max usage in bytes memory.max usage in bytes 
memory.usage in bytes i 
cgroup.clone children 
memory. kmem. slabinfo memory.move charge at immigrate 
memory.use hierarchy - NE 
cgroup.event control 
memory. kmem.tcp. failcnt memory.numa stat 
notify on release 
cgroup.procs 
memory. kmem.tcp.limit in bytes memory.oom control 
tasks . 
memory.failcnt 
memory. kmem.tcp.max Usage in bytes memory.pressure level 
memory. force_empty 加 后 全 


memory. kmem.tcp.usage in bytes memory.soft limit in bytes 
memory. kmem. failcnt 
memory. kmem.usage in bytes memory.stat 


的 命令 可 限制 Docker 组 中 所 有 进程 使 用 的 物理 内 存 总 量 不 超过 100MB: 


四 


户 可 以 通过 修改 这 些 文件 值 来 控制 组 限制 Docker 应 用 资源 。 例 如 ， 通 过 下 


$ sudo echo 104857600 >/sys/fs/cgroup/memory/docker/memory.limit in bytes 


进入 对 应 的 容器 文件 来， 可 以 看 到 对 应 容器 的 一 些 状态 : 


$ cd 42352bb6cldlc5c411be8fa04e97842da87d14623495189c4d865dfc444d12ae/ 


$ 1s 

cgroup.clone children memory.max usage in bytes memory.stat 
cgroup.event control memory.move charge at immigrate memory.swappiness 
cgroup.procs memory.numa stat memory.usage in bytes 
memory.failcnt memory.oom control memory.use hierarchy 
memory. force_ empty memory.pressure level notify on release 
memory.limit in bytes memory.soft limit in bytes tasks 


$ cat memory.stat 
cache 110592 

rss 107286528 

rss_ huge 16777216 
mapped file 0 
writeback 0 

pgpgin 74766 

pgpgout 52634 
pgfault 115722 
pgmajfault 0 
inactive anon 12288 
active anon 107384832 
inactive file 0 
active file 0 
unevictable 0 
hierarchical memory limit 18446744073709551615 
total cache 110592 
total rss 107286528 
total rss huge 16777216 
total mapped file 0 
total writeback 0 
total pgpgin 74766 
total pgpgout 52634 


total pgfault 115722 

total pgmajfault 0 

total inactive anon 12288 
total active anon 107384832 
total inactive file 0 
total active file 0 

total unevictable 0 


在 开发 容器 工具 时 ， 往 往 需要 一 些 容器 运行 状态 数据 ， 这 时 就 可 以 从 这 里 得 到 更 多 的 信息 。 


四 济 


可 以 在 创建 或 启动 容器 时 为 每 个 容器 指定 资源 的 限制 ， 例 如 使 用 -c|--cpu-shates[=0] 参 数 来 调整 容器 使 用 CPU 的 权重 ; 使 用 四 |--memoryEEMEMORY] 参 数 来 调整 容器 使 用 内 存 的 大 小 。 


17.4 ”联合 文件 系统 


联合 文件 系统 (UnionFS) 是 一 种 轻 量 级 的 高 性 能 分 层 文件 系统 ， 它 支持 将 文件 系统 中 的 修改 信息 作为 一 次 提交 ， 并 层 层 堵 加 ， 同 时 可 以 将 不 同 目录 挂 载 到 同一 个 虚拟 文件 系统 下 ， 应 用 看 到 的 是 挂 载 


的 最 终结 果 。 


联合 文件 系统 是 实现 Docker 镜 像 的 技术 基础 。Docker 镜 像 可 以 通过 分 层 来 进行 继承 。 例 如 ， 用 户 基 于 基础 镜像 (用 来 生成 


他 镜像 的 起 


而 ， 往 往 没有 父 镜像 ) 来 制作 各 种 不 同 的 应 用 镜像 。 这 些 镜像 


共享 同一 个 基础 镜像 层 ， 提 高 了 存储 效率 。 此 外 ， 当 用 户 改变 了 一 个 Docker 镜 像 (比如 升级 程序 到 新 的 版 本 ) ， 则 会 创建 一 个 新 的 层 (layer) 。 


新 层 即 可 。 用 户 分 发 镜像 的 时 候 ， 也 只 需要 分 发 被 改动 的 新 层 内容 ( 增 量 部 分 ) 。 这 让 Docker 的 镜像 管理 变 得 十 分 轻 量 级 和 快速 。 


1.Docker 存 储 


Docker 目 前 通过 插件 化 方式 支持 多 种 文件 系统 后 端 。Debian/Ubuntu 上 成 熟 的 AUFS (Another Union File System， 或 v2 版 本 往 


蔡 换 整个 原 镜像 或 者 和 


新 建立 ， 只 需要 添加 


后 的 Advanced Multilayered Unification File System) ， 就 是 一 种 


联合 文件 系统 实现 ， 如 图 17-3 所 示 。AUFS 支 持 为 每 一 个 成 员 目录 (类 似 Git 的 分 支 ) 设 定 只 读 (readonly) 、 读 写 (readwrite) 或 写 出 (whiteout-able) 权限 ， 同 时 AUFS 里 有 一 个 类 似 分 层 的 概念 ， 对 


只 读 权 限 的 分 支 可 以 在 逻辑 上 进行 增 量 地 修改 (不 影响 只 读 部 分 的 ) 。 


图 17- 


Docker 镜 像 自身 就 是 由 多 个 文件 层 组 成 ， 每 一 层 有 唯一 的 编号 ( 层 ID) 。 


3 AUFS 文 件 系统 


可 以 通过 docker history 查 看 一 个 镜像 由 哪些 层 组 成 。 例 如 查看 ubuntu : 14.04 镜 像 由 4 层 组 成 ， 每 层 执行 了 不 同 的 命令 : 


$ docker history ubuntu:14.04 
IMAGE CREATED 
2a274e3405ec 13 months ago 
df697c8blbf4 13 months ago 
371166fb96e0 13 months ago 
69191ca023af 13 months ago 


CREATED BY SIZE COMMENT 
/bin/sh -c #(nop) CMD ["/bin/bash"] 0B 


/bin/sh -c sed -i 's/^#\s*\(deb.*universe\)$/ 1.895 kB 
/bin/sh -c echo '#!/bin/sh' > /usr/sbin/polic 194.5 kB 


/bin/sh -c #(nop) ADD file:c8f078961a543cdefa 188. 


对 于 Docker 镜 像 来 说 ,这 些 
可 读 写 层 。 当 所 操作 对 象 位 于 较 深 的 某 层 时 ， 需 要 先 复制 到 最 上 层 的 可 读 写 层 。 当 数据 对 象 较 大 时 ， 往 往 意味 着 |O 性 能 较 差 。 


内 数据 。 


此 外 ， 对 于 频繁 启 停 Docker 容 器 的 场景 下 ， 文 件 系统 的 1O 性 能 也 将 十 分 关键 。 


在 这 个 目录 下 面 ， 存 储 由 Docker 镜 像 和 容器 运行 相关 的 文件 和 有 目 


volumes 等 。 其 中 ， 最 关键 的 就 是 aufs 目 录 ， 这 是 aufs 文 件 系统 所 在 ， 保 存 Docker 镜 像 相 关 数 据 和 信息 。 该 目录 该 目录 包括 layers、diff 和 mnt 三 个 子 目 录 。1.9 版 本 和 之 前 的 版 本 中 ， 命 名 跟 镜像 
层 数据 相关 的 文件 和 目录 名 与 层 ID 不 再 匹配 。 


匹配 的 ， 而 自 1.10 开 始 ， 


layers 子 目录 包含 


属性 文件 ， 用 来 保存 各 个 镜像 层 的 元 数据 : 某 镜像 的 某 层 下 面包 括 哪些 


具体 看 ，Docker 所 有 的 存储 都 在 Docker 目 录 下 ， 以 Ubuntu 系统 为 例 ， 默 认 路 径 是 /varVlib/docker。 


慨 。 例 如 : 某 镜像 由 5 


层 组 成 ， 则 文件 内 容 应 该 如 下 : 


层 的 内 容 都 是 不 可 修改 的 、 只 读 的 。 而 当 Docker 利 用 镜像 启动 一 个 容器 时 ， 将 在 镜像 文件 系统 的 最 顶端 再 挂 载 一 个 新 的 可 读 写 的 层 给 容器 。 容 器 中 的 内 容 更 新 将 会 发 生 在 
因此 ， 一 般 推 荐 将 容器 修改 的 数据 通过 volume 方 式 挂 载 ， 而 不 是 直接 修改 镜像 


录 ， 可 能 包括 aufs、containers、graph、image、init、linkgraph.db、network、repositories-aufs、swarm、tmp、trust、 


层 的 ID 是 


# cat aufs/layers/78f4601leee00b1f770blaecf5b6433635b99caa5c11b8858dd6c8cec03b4584f-init 
dq2a0ecffe6fa4ef3dqe9646a75cc629bbd9qa7eead7f767cb810f9808d6b3ecb6 
29460ac934423a55802fcad24856827050697b4a9f33550bd93c82762fb6db8f 
b670fb0c7ecd3d2c401fbfdlfa4d7a872fbada0a4b8c2516d0be18911c6b25d6 
83e4dde6b9cfqddf46b75a07ec8d65ad87a748b98cf27de7d5b3298c1lf3455ae4 


# cat aufs/layers/d2a0ecffe6fa4ef3de9646a75cc629bbd9da7Teead7f767cb810f9808d6b3ecb6 
29460ac934423a55802fcad24856827050697b4a9f33550bd93c82762fb6db8f 
b670fb0c7ecd3d2c401fbfdlfa4d7a872fbada0a4b8c2516d0be18911c6b25d6 
83e4dde6b9cfqddf46b75a07ec8d65ad87a748b98cf27de7d5b3298c1f3455ae4 


diff 子 目录 包含 层 内 容 子 目 录 ， 


来 保存 所 有 镜像 层 的 内 容 数 据 。 例 如 : 


# ls aufs/diff/78f4601eee00bl1f770blaecf5b6433635b99caa5c11b8858dd6c8cec03b4584f-init/ 
dev etc 


mnt 子 目录 下 面 的 子 目 录 是 各 个 容器 最 终 的 挂 载 点 ， 所 有 相关 的 AUFS 层 在 这 里 挂 载 到 一 起 ， 形 成 最 终 效 果 。 一 个 运行 中 容器 的 根 文件 系统 就 挂 载 在 这 下 面 的 子 目录 上 。 同 样 ，1.10 版 本 之 前 的 Docker 
中 ， 子 目录 名 和 容器 1D 是 一 致 的。 其 中 ， 还 包括 容器 的 元 数据 、 配 置 文件 和 运行 日 志 等 。 


2. 多 种 文件 系统 比较 


Docker 目 前 支持 的 联合 文件 系统 种 类 包括 AUFS、OverlayFS、btrfs、vfs、zfs 和 Device Mapper 等 。 各 种 文件 系统 目前 的 支持 情况 如 下 : 


: AUFS: 最 早 支持 的 文件 系统 ， 对 Debian/Ubuntu 支 持 好 ， 虽 然 没有 合并 到 Linux 内 核 中 ， 但 成 熟 度 很 高 ; 

“ OverlayFS: 类 似 于 AUFS， 性 能 更 好 一 些 ， 已 经 合并 到 内 核 ， 未 来 会 取代 AUFS， 但 成 熟 度 有 待 提高 

“ Device Mapper: Redhat 公 司 和 Docket 团 队 一 起 开发 用 于 支持 RHEL 的 文件 系统 ， 内 核 支 持 ， 性 能 略 慢 ， 成 熟 度 高 
“ btrfs: 参考 zfs 等 特性 设计 的 文件 系统 ， 由 Linux 社 区 开发 ， 试 图 未 来 取代 Device Mapper， 成 熟 度 有 待 提高 ; 

“vfs: 基于 普通 文件 系统 (ext、nfs 等 ) 的 中 间 层 抽象 ， 性 能 差 ， 比 较 占 用 空间 ， 成 熟 度 也 一 般 。 


“ zfs: 最 初 设计 为 Solaris 10 上 的 写 时 文件 系统 ， 拥 有 不 少 好 的 特性 ， 但 对 Linux 支 持 还 不 够 成 熟 。 


总 结 一 下 ，AUFS 和 Device Mapper 的 应 用 最 为 广泛 ， 支 持 也 相对 成 熟 ， 推 荐 生产 环境 考虑 。 长 期 来 看 ，OverlayFS 将 可 能 具有 更 好 的 特性 。 


17.5 Linux 网 络 虚 拟 化 


Docker 的 本 地 网 络 实现 其 实 就 是 利用 了 Linux 上 的 网 络 命名 空间 和 虚拟 网 络 设备 (特别 是 veth pair) 。 熟 悉 这 两 部 分 的 基本 概念 ， 有 助 于 理解 Docker 网 络 的 实现 过 程 。 


1. 基 本 原理 


直观 上 看 ， 要 实现 网 络 通信 ， 机 器 需要 至 少 一 个 网 络 接口 (物理 接口 或 虚拟 接口 ) 与 外 界 相通 ， 并 可 以 收发 数据 包 ; 此 外 ， 如 果 不 同 子 网 之 间 要 进行 通信 ， 需 要 额外 的 路 由 机 制 。 


Docker 中 的 网 络 接口 默认 都 是 虚拟 的 接口 。 虚 拟 接口 的 最 大 优势 就 是 转发 效率 极 高 。 这 是 因为 Linux 通 过 在 内 核 中 进行 数据 复制 来 实现 虚拟 接口 之 间 的 数据 转发 ， 即 发 送 接口 的 发 送 缓存 中 的 数据 包 将 
被 直接 复制 到 接收 接口 的 接收 缓存 中 ， 而 无 需 通过 外 部 物理 网 络 设备 进行 交换 。 对 于 本 地 系统 和 容器 内 系统 来 看 ， 虚 拟 接口 跟 一 个 正常 的 以 太 网 卡 相 比 并 无 区 别 ， 只 是 它 速 度 要 快 得 多 。 


Docker 容 器 网 络 就 很 好 地 利用 了 Linux 虚 拟 网 络 技术 ， 在 本 地 主机 和 容器 内 分 别 创建 一 个 虚拟 接口 ， 并 让 它们 彼此 连通 (这样 的 一 对 接口 叫做 veth pair) ， 如 图 17-4 所 示 。 


从 二 二 从 
om sy 


2. 网 络 创建 过 程 


2 人 
19000 0:3 172xb9:Qu4 


网 桥 docker() 


物理 主机 
192.168.100.100 


图 17-4 Linux 虚 机 网 络 技术 


一 般 情 况 下 ，Docker 创 建 一 个 容器 的 时 候 ， 会 具体 执行 如 下 操作 : 


1) 创建 一 对 虚拟 接口 ， 分 别 放 到 本 地 主机 和 新 容器 的 命名 空间 中 ; 


3) 容器 一 端的 


2) 本 地 主机 一 端的 虚拟 接口 连接 到 默认 的 docker0 网 桥 或 指定 网 桥 上 ， 并 具有 一 个 以 veth 开 头 的 唯一 名 字 ， 如 veth1234; 


4) 从 网 桥 可 


在 使 


有 5 个 可 选 值 bridge、none、container、host 和 上 


docker run 命 令 启 动容 器 的 时 候 ， 可 以 通过 --net 参 数 来 


虚拟 接口 将 放 到 新 创建 的 容器 中 ， 并 修改 名 字 作为 eth0。 这 个 接口 只 在 容器 的 命名 空间 可 见 ; 


地 址 段 中 获取 一 个 空闲 地 址 分 配给 容器 的 eth0 (例如 172.17.0.2/16) ， 并 配置 默认 路 由 网 关 为 docker0 网 卡 的 内 部 接口 docker0 的 IP 地 址 (例如 172.17.42.1/16) 。 


完成 这 些 之 后 ， 容 器 就 可 以 使 用 它 所 能 看 到 的 eth0 虚 拟 网 卡 来 连接 其 他 容器 和 访问 外 部 网 络 。 
户 也 可 以 通过 docker network 命 令 来 手动 管理 网 络 ， 将 在 后 续 第 21 章 介绍 。 
旨 定 容器 的 网 络 配置 。 


户 定义 的 网 络 : 


“ --net=bridge: 默认 值 ， 在 Docker 网 桥 docker0 上 为 容器 创建 新 的 网 络 栈 。 


“ -net=none: 让 Docker 将 新 容器 放 到 隔离 的 网 络 栈 中 ， 但 是 不 进行 网 络 配置 。 之 后 ， 用 户 可 以 自行 进行 配置 。 


“ --net=container: NAME_or ID: 让 Docker 将 新 建 容器 的 进程 放 到 一 个 已 存在 容器 的 网 络 栈 中 ， 新 容器 进程 有 自己 的 文件 系统 、 进 程 列表 和 资源 限制 ， 但 会 和 已 存在 的 容器 共享 IP 地 址 和 端口 等 网 络 资 
源 ， 两 者 进程 可 以 直接 通过 lo 环 回 接口 通信 。 


“ --net=host: 告诉 Docker 不 要 将 容器 网 络 放 到 隔离 的 命名 空间 中 ， 即 不 要 容器 化 容器 内 的 网 络 。 此 时 容器 使 用 本 地 主机 的 网 络 ， 它 拥有 完全 的 本 地 主机 接口 访问 权限 。 容 器 进程 可 以 跟 主 机 其 他 root 进 
程 一 样 打开 低 范围 的 端口 ， 可 以 访问 本 地 网 络 服务 ， 比 如 D-bus， 还 可 以 让 容器 做 一 些 影响 整个 主机 系统 的 事情 ， 比 如 重启 主机 。 因 此 使 用 这 个 选项 的 时 候 要 非常 小 心 。 如 果 进 一 步 的 使 用 --privileged=true 参 


数 ， 容 器 其 


至 会 被 允许 直接 配置 主机 的 网 络 栈 。 


* --net=uset_defined_netwotk: 用 户 自行 用 netwotk 相 关 命 令 创 建 一 个 网 络 ， 通 过 这 种 方式 将 容器 连接 到 指定 的 已 创建 网 络 上 去 。 


3. 手 动 配置 网 络 


户 使 


首先 ， 


--net=none 后 ，Docker 将 不 对 容器 网 络 进行 配置 。 下 


启动 一 个 /bin/bash 容 器 ， 指 定 --net=none 参 数 : 


面 ， 将 手动 完成 配置 网 络 的 整个 过 程 。 通 过 这 个 过 程 ， 可 以 了 解 到 Docker 配 置 网 络 的 更 多 细节 。 


$ docker run -i -t --rm --net=none base /bin/bash 
zo58863E38800155: /# 


在 本 地 主机 查找 容器 的 进程 id， 并 为 它 创建 网 络 命名 空间 : 


$ docker inspect -f '{{.State.Pid}}' 63f36fc01b5f 
2778 

$ pid=2778 

$ sudo mkdir -p /var/run/netns 

$ sudo ln -s /proc/$pid/ns/net /var/run/netns/$pid 


检查 桥接 网 卡 的 IP 和 子 网 掩 码 信息 : 


$ ip addr show docker0 

21: docker0: http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
inet 172.17.42.1/16 scope global docker0 | 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


创建 一 对 “veth pair” 接口 A 和 和 B， 绑 定 A 接 口 到 网 桥 docker0， 并 启用 它 : 


$ sudo ip link add A type veth Peer name B 
$ sudo brct1l addif docker0 A 
$ sudo ip link set A up 


将 B 接 口 放 到 容器 的 网 络 命 名 空间 ， 命 名 为 eth0， 启 动 它 并 配置 一 个 可 用 IP (桥接 网 段 ) 和 默认 网 关 : 


sudo ip link set B netns $pid 

sudo ip netns exec S$pid ip link set dev B name eth0 

sudo ip netns exec S$pid ip link set eth0 ul 

sudo ip netns exec S$pid ip addr add 172. 1 天 42.99/16 dev eth0 
sudo ip netns exec S$pid ip route aqdd default via 172.17.42.1 


DDD 


以 上 ,就 是 Docker 配 置 网 络 的 具体 过 程 。 


当 容 器 终止 后 ，Docker 会 清空 容器 ， 容 器 内 的 网 络 接口 会 随 网 络 命 名 空间 一 起 被 清除 ，A 接 口 也 会 自动 从 docker0 御 载 并 清除 。 


此 外 ， 在 删除 /var/run/netns/ 下 的 内 容 之 前 ， 用 户 可 以 使 用 ip netns exec 命 令 在 指定 网 络 命名 空间 中 进行 配置 ， 从 而 更 新 容器 内 的 网 络 配置 。 


17.6 ”本章 小 结 


本 章 具体 剖析 了 Docker 实 现 的 一 些 核心 技术 ， 包 括 它 的 基本 架构 ， 以 及 所 依赖 的 Linux 操 作 系 统 中 的 命名 空间 、 控 制 组 、 联 合 文件 系统 、 虚 拟 网 络 支 持 等 。 大 部 分 都 是 Linux 操 作 系 统 上 已 有 的 技术 。 


We Docker 的 优秀 特性 跟 Linux 操 作 系统 的 强大 、 特 别 是 Linux 上 成 熟 的 容器 技术 支持 是 分 不 开 的 。 在 实际 使 用 Docker 容 器 的 过 程 中 ， 还 将 涉及 如 何 调整 系统 配置 来 优化 容器 性 
能 ， 这 些 都 需要 有 丰富 的 Linux 系 统 运 维 知识 和 实践 经 验 。 


通过 runc 等 更 通用 的 容器 运行 时 技术 标准 ，Docker 已 经 可 以 移植 到 Linux 之 外 的 多 种 平台 上 ， 这 将 使 得 它 的 应 用 范围 更 为 广泛 。 


此 外 ， 通 过 插件 化 的 网 络 机 制 ，Docker 还 可 以 支持 更 多 更 强大 的 网 络 虚 拟 化 功能 ， 这 将 在 后 续 章节 介绍 。 


第 18 章 ”配置 私有 仓库 


在 使 用 Docker 一 段 时 间 后 ， 往 往 会 发 现 手头 积累 了 大 量 的 自 定义 镜像 文件 ， 这 些 文件 通过 公有 仓库 进行 管理 并 不 方便 ; 另外 有 时 候 只 是 希望 在 内 部 用 户 之 间 进 行 分 享 ， 不 希望 暴露 出 去 。 这 种 情况 下 ， 
就 有 必要 搭建 一 个 本 地 私有 镜像 仓库 。 


在 第 一 部 分 中 ， 笔 者 曾 介绍 快速 使 用 registry 镜 像 搭建 一 个 私有 仓库 的 方法 。 本 章 笔 者 将 具体 讲解 registry 的 使 用 技巧 ， 并 通过 具体 案例 来 展示 如 何 搭建 一 个 功能 完善 的 私有 镜像 仓库 。 


在 搭建 完成 本 地 的 私有 仓库 服务 后 ， 接 下 来 会 剖析 registry 的 配置 参数 ， 最 后 介绍 通过 编写 脚本 来 实现 对 镜像 的 快速 批量 化 管理 。 


18.1 安装 Docker Registry 


Docker Registry 工 具 目 前 最 新 为 2.0 系 列 版 本 ， 这 一 版 本 与 一 些 类 库 、 工 具 一 起 被 打包 为 负责 容器 内 容 分 发 的 工具 集 : Docker Distribution。 有 目前 其 核心 的 功能 组 件 仍 为 负责 镜像 仓库 的 管理 。 


新 版 本 的 Registry 基 于 Golang 进 行 了 重 构 ， 提 供 更 好 的 性 能 和 扩展 性 ， 并 且 支 持 Docker 1.6+ 的 AP1， 非 常 适合 用 来 构建 私有 的 镜像 注册 服务 器 。 官 方 仓库 中 也 提供 了 Registry 的 镜像 ， 因 此 用 户 可 以 通 
过 容器 运行 和 源码 安装 两 种 方式 来 使 用 Registry。 


1. 基 于 容器 安装 运行 


基于 容器 的 运行 方式 十 分 简单 ， 只 需要 一 条 命令 : 


$ docker run -d -p 5000:5000 --restart=always --name registry registry:2.1 


启动 后 比较 关键 的 参数 是 指定 配置 文件 和 仓库 存储 路 径 。 


Registry 默 认 的 配置 文件 为 /etc/dockerregistry/config.yml， 因 此 ， 通 过 如 下 命令 ， 可 以 指定 使 用 本 地 主机 上 的 配置 文件 (如 /home/user/registry-conf) 。 


$ docker run -d -p 5000:5000 \ 
—-restart=always \ 


--name registry \ 
-Vv /home/user/registry-conf/config.yml:/etc/docker/registry/config.yml \ 
registry:2 


此 外 ，Registry 默 认 的 存储 位 置 为 /var/lib/registry， 可 以 通过 -v 参 数 来 映射 本 地 的 路 径 到 容器 内 。 


例如 下 面 的 例子 将 镜像 存储 到 本 地 /opt/data/registry 目 录 。 


$ docker run -d -p 5000:5000 --restart=always --name registry \ 
-Vv /opt/data/registry:/var/lib/registry \ 
registry:2 


2. 本 地 安装 运行 
有 时 候 需要 本 地 运行 仓库 服务 ， 可 以 通过 源码 方式 进行 安装 。 


首先 安装 Golang 环 境 支持 ， 以 Ubuntu 为 例 ， 可 以 执行 如 下 命令 : 


$ sudo add-apt-repository Ppa:ubuntu-1xc/1xd-stable 
$ sudo apt-get update 
$ sudo apt-get install golang 


确认 Golang 环 境 安 装 成 功 ， 并 配置 $GOPATH 环 境 变量 ,例如 /go。 


创建 $4GOPATH/src/github.com/docker/ 目 录 ， 并 获取 源码 ， 如 下 所 示 : 


$ mkdir ~-p $GOPATH/src/github.com/docker/ 

$ cd $GOPATH/src/github.com/docker/ 

$ git clone https://github.com/docker/distribution.git 
$ cd distribution 


将 自 带 的 模板 配置 文件 复制 到 /etc/docker/registry/ 路 径 下 ,创建 存 储 目录 /var/lib/registry: 


$ cp cmd/registry/config-dev.yml /etc/docker/registry/config.yml 
$ mkdir -p /var/lib/registry 


然后 执行 安装 操作 : 


$ make PREFIX=/go clean binaries 


编译 成 功 后 ， 可 以 通过 下 面 的 命令 来 启动 : 


$ registry serve /etc/docker/registry/config.yml 


此 时 使 用 访问 本 地 的 5000 端 口 ， 看 到 返回 成 功 (200 OK) ， 则 说 明 运 行 成 功 : 


el -i DD lS000/ 2 

HTTP/1.1 200 OK 

Content-Length: 2 

Content-Type: application/json; charset=utf-8 
Docker-Distribution-Api-Version: registry/2.0 
X-Content-Type-Options: nosniff 

Date: Wed, 31 Sep 2016 06:36:10 GMT 

{} 


18.2 ”配置 TLS 证 书 


当 本 地 主机 运行 Registry 服 务 后 ， 所 有 能 访问 到 该 主机 的 Docker Host 都 可 以 把 它 作 为 私有 仓库 使 用 。 只 需要 在 镜像 名 称 前 面 添加 上 具体 的 服务 器 地 址 。 


例如 将 本 地 的 ubuntu : latest 镜 像 上 传 到 私有 仓库 myrepo.com : 


$ docker tag ubuntu myrepo.com:5000/ubuntu 
$ docker push myrepo.com:5000/ubuntu 


或 者 从 私有 仓库 myrepo.com 下 载 镜像 到 本 地 : 


$ docker pull myrepo.com:5000/ubuntu 
$ docker tag myrepo.com:5000/ubuntu ubuntu 


私有 仓库 需要 启用 TLS 认 证 ， 否 则 会 报错 。 在 第 一 部 分 中 ， 我 们 介绍 了 通过 添加 DOCKER_OPTS="--insecure-registry myrepo.com: 5000 来 避免 这 个 问题 。 在 这 里 将 介绍 如 何 获取 和 生成 TLS 证 书 。 


1. 自 行 生 成 证 书 


使 用 openssI 工 具 可 以 很 容易 地 生成 私人 证 书 文 件 : 


$ mkdir -~p certs 
$ openssl] req -newkey rsa:4096 -nodes -sha256 -keyout certs/myrepo.key -x509 
-days 365 -out certs/myrepo.crt 


生成 过 程 中 会 提示 填 入 各 种 信息 ， 注 意 CN 一 栏 的 信息 要 填 入 跟 访 问 的 地 址 相同 的 域名 ,例如 这 里 应 该 为 myrepo.com。 


生成 结果 为 秘 钥 文 件 myrepo.key， 以 及 证 书 文件 myrepo.crt。 


其 中 证 书 文件 需要 发 送 给 用 户 ， 并 且 配 置 到 用 户 Docker Host 上 ， 注 意 路 径 需 要 跟 域 名 一 致 ， 例 如 : 


/etc/docker/certs.d/myrepo.com:5000/ca.crt 


2. 从 代理 商 申 请 证 书 


如 果 Registry 服 务 需要 对 外 公开 ， 需 要 申请 大 家 都 认可 的 证 书 。 


知名 的 代理 商 包括 SSLs.com、GoDaddy.com、LetsEncrypt.org、GlobalSign.com 等 ， 用 户 可 以 自行 选择 权威 的 证 书 提供 商 。 


3. 启 用 证 书 


当 拥有 秘 钥 文 件 和 证 书 文件 后 ， 可 以 配置 Registry 启 用 证 书 支持 ， 主 要 通过 REGISTRY_HTTP_TLS_CERTIFICATE 和 REGISTRY_HTTP_TLS_KEY 人 参数 来 设置 : 


docker run -d -p 5000:5000 --restart=always --name registry \ 
-v ‘pwd‘/certs:/certs 
-e REGISTRY HTTP TLS CERTIFICATE=/certs/myrepo.crt \ 
-e REGISTRY HTTP TLS KEY=/certs/myrepo.key \ 
registry:2 


18.3 ”管理 访问 权限 


通常 在 生产 场景 中 ， 对 私有 仓库 还 需要 进行 访问 代理 ， 以 及 提供 认证 和 用 户 管理 


1.Docker Registry v2 的 认证 模式 


Docker Registry v2 的 认证 模式 和 v1 有 了 较 大 的 变化 ， 降 低 了 系统 的 复杂 度 、 减 少 了 服务 之 间 的 交互 次 数 ， 其 基本 工作 模式 如 


18-1 所 示 。 


区 


Authorization 
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Regilstry v2 


Docker Daemon 
API Client 


图 18-1 Registry v2 的 认证 模式 


具体 交互 过 程 包括 如 下 步骤 : 


Docker Daemon 或 者 其 他 客户 端 尝试 访问 Registry 服 务 器 ， 比 如 pull、push 或 者 访问 manifiest 文 件 ; 


2) 在 Registry 服 务 器 开启 了 认证 服务 模式 时 ， 就 会 直接 返回 401 Unauthorized 错 误 ， 并 通知 调用 方 如 何 获得 授权 ; 


3) 调用 方 按照 要 求 ， 向 Authorization Service 发 送 请 求 ， 并 携带 Authorization Service 需 要 的 信息 ， 比 如 用 户 名 、 密 码 ; 


4) 如 果 授 权 成 功 ， 则 可 以 拿 到 合法 的 Bearer token， 来 标识 该 请 求 方 可 以 获得 的 权限 ; 


5) 请 求 方 将 拿 到 Bearer token 加 到 请 求 的 Authorization header 中 ， 再 次 尝试 步骤 1 中 的 请 求 ; 


6) Registry 服 务 通 过 验证 Bearer token 以 及 JWT 格 式 的 授权 数据 ， 来 决定 用 户 是 否 有 权限 进行 请 求 的 操作 。 


当 启 用 认证 服务 时 ， 需 要 注意 以 下 两 个 地 方 : 


:对 于 Authentication Service ，Docketr 官 方 目前 并 没有 放出 对 应 的 实现 方案 ， 需 要 自行 实现 对 应 的 服务 接口 ; 


:Registry 服务 和 Authentication 服 务 之 间 通 过 证 书 进 行 Bearetr token 的 生成 和 认证 ， 所 以 要 保证 两 个 服务 之 间 证 书 的 匹配 。 


除了 使 用 第 三 方 实现 的 认证 服务 (如 docker_ auth、SUSE Portus 等 ) 外 ， 还 可 以 通过 Nginx 代 理 方 式 来 配置 基于 用 户 名 密码 的 认证 。 


2. 配 置 Nginx 代 理 


使 用 Nginx 来 代理 Registry 服 务 的 原理 十 分 简单 ， 在 上 一 节 中 ， 我 们 让 Registry 服 务 监 听 在 127.0.0.1: 5000， 这 意味 着 只 人 允许 本 机 才能 通过 5000 端 口 访问 到 ， 其 他 主机 是 无 法 访问 到 的 。 


为 了 让 其 他 主机 访问 到 ， 可 以 通过 Nginx 监 听 在 对 外 地 址 的 15000 端 口 ， 当 外 部 访问 请 求 到 达 15000 端 口 时 ， 内 部 再 将 请 求 转 发 到 本 地 的 5000 端 口 。 


首先 ， 安 装 Nginx: 


$ sudo apt-get -Y install nginx 


在 /etc/nginx/sites-available/ 目 录 下 ， 创 建新 的 站 点 配置 文件 /etc/nginx/sites-available/docker-registry.conf， 代 理 本 地 的 15000 端 口 转发 到 5000 端 口 。 


配置 文件 内 容 如 下 : 


# 本 地 的 registry 服 务 监听 在 15000 端 口 
upstream docker-registry { 
server localhost:5000; 


} 
# 代理 服务 器 监听 在 15000 端 口 
server { 
listen 15000; 
server name private-registry-server.com; 
add header 'Docker-Distribution-Api-Version' 'registry/2.0' always; 
# If you have SSL certification files, then can enable this section. 
ssl on; 
ssl certificate /etc/ssl/certs/myrepo.crt; 
ssl certificate key /etc/ssl/private/myrepo.key; 


proxy_pass http://docker-registry; 

proxy set header Host \$http host; # required for docker 
client's sake 

proxy set header X-Real-IP \$remote addr; # pass on real client's IP 


proxy_set header X-Forwarded-For \$proxy add x forwarded for; 

proxy_ set header X-Forwarded-Proto \$scheme; 

proxy read timeout 600; 

client max body size 0; # disable any limits to avoid HTTP 413 for large 
image uploads 

# required to avoid HTTP 411: see Issue #1486 (https://github.com/dotcloud/ 
docker/issues/1486) 

Chunked transfer encoding on; 

location /v2/ { 
# 禁止 旧版 本 Docker 访 问 
if (\$http user agent ~ "^(docker\/1\.(3|4|5(?!\,.[0-9]-dev))|Go ).*\$" ) { 

return 404; 


} 
# 配置 转发 访问 请 求 到 registry 服 务 
proxy_pass http://docker-registry; 


建立 配置 文件 软 连接 ， 放 到 /etc/nginx/sites-enabled/ 下 面 ， 让 Nginx 启 用 它 ， 最 后 重启 Nginx 服 务 : 


$ sudo ln -s /etc/nginx/sites-available/docker-registry.conf /etc/nginx/sites- 
enabled/docker-registry.conf 
$ service nginx restart 


之 后 ， 可 以 通过 上 传 镜 像 来 测试 服务 是 否 正常 。 测 试 上 传 本 地 的 ubuntu: latest 镜 像 : 


$ docker tag ubuntu:14.04 127.0.0.1:15000/ubuntu: latest 
$ docker push 127.0.0.1:15000/ubuntu:1latest 


3. 添 加 用 户 认证 


公共 仓库 Docker Hub 是 通过 注册 索引 (index) 服务 来 实现 的 。 由 于 Index 服 务 并 没有 完善 的 开源 实现 ， 在 这 里 介绍 基于 Nginx 代 理 的 用 户 访问 管理 方案 。 


Nginx 支 持 基于 用 户 名 和 密码 的 访问 管理 。 


首先 ， 在 配置 文件 的 location/ 字 段 中 添加 两 行 : 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
location / { I 

# let Nginx know about our auth file 

auth basic "Please Input username/password"; 

auth basic user file docker-registry-htpasswd; 

proxy pass http://docker-registry; 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


其 中 ，auth_basic 行 说 明 启 用 认证 服务 ， 不 通过 的 请 求 将 无 法 转发 。auth_basic_user file 行 则 指定 了 验证 的 用 户 名 密码 存储 文件 为 本 地 (/etc/nginx/ 下 ) 的 docker-registry-htpasswd 文 件 。 


docker-registry-htpasswd 文 件 中 存储 用 户 名 密码 的 格式 为 每 行 放 一 个 用 户 名 、 密 码 对 。 例 如 : 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
userl:passwordl 
user2:password2 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


需要 注意 的 是 ， 密 码 字段 存储 的 并 不 是 明文 ， 而 是 使 用 crypt 函 数 加 密 过 的 字符 串 。 


要 生成 加 密 后 的 字符 串 ， 可 以 使 用 htpasswd 工 具 ， 首 先 安装 apache2-utils: 


$ sudo aptitude install apache2-utils -y 


创建 用 户 user1， 并 添加 密码 。 


例如 ， 如 下 的 操作 会 创建 /etc/nginx/docker-registry-htpasswd 文 件 来 保存 用 户 名 和 加 密 后 的 密码 信息 ， 并 创建 user1 和 对 应 的 密码 : 


$ sudo htpasswd -c /etc/nginx/docker-registry-htpasswd userl 
$ New password: 

$ Re-type new password: 

$ Rdding password for user userl 


添加 更 多 用 户 ， 可 以 重复 上 面 的 命令 (密码 文件 存在 后 ， 不 需要 再 使 用 -c 选 项 来 新 创建 ) 。 


新 启动 Nginx 服 务 : 


$ sudo service nginx restart 


此 时 ， 通 过 浏览 器 访问 本 地 的 服务 http://127.0.0.1: 15000/v2/， 会 弹出 对 话 框 ， 提 示 需 要 输入 用 户 名 和 密码 。 


通过 命令 行 访问 ， 需 要 在 地 址 前 面 带 上 用 户 名 和 密码 才能 正常 返回 : 


$ curl USERNAME:PASSWORD@127.0.0.1:15000/v2/ 


除了 使 用 Nginx 作 为 反 向 代理 外 ，Registry 自 身 也 支持 简单 的 基于 用 户 名 和 密码 的 认证 和 基于 token 的 认证 ， 可 以 通过 如 下 环境 变量 来 指定 : 


REGISTRY AUTH: htpasswd 
REGISTRY AUTH HTPASSWD PATH: /auth/htpasswd 
REGISTRY AUTH HTPASSWD REAIM: basic 


4. 用 Compose 启 动 Registry 


一 般 情况 下 ， 用 户 使 用 Registry 需 要 的 配置 包括 存储 路 径 、TLS 证 书 和 用 户 认证 。 这 里 提供 一 个 基于 Docker Compose 的 快速 启动 Registry 的 模板 : 


registry: 

restart: always 

image: registry:2.1 

ports: 
— 5000:5000 

environment: 
REGISTRY HTTP TLS CERTIFICATE: /certs/myrepo.crt 
REGISTRY HTTP_ TLS KEY: /certs/myrepo.key 
REGISTRY AUTH: htpasswd 
REGISTRY AUTH HTPASSWD PATH: /auth/docker-registry-htpasswd 
REGISTRY AUTH HTPASSWD REAIM: basic 

volumes: | Ve 
- /path/to/data: /var/lib/registry 
- /path/to/certs:/certs 
- /path/to/auth:/auth 


18.4 配置 Registry 


Docker Registry 提 供 了 一 些 样 例 配置 ， 用 户 可 以 直接 使 用 它们 来 进行 开发 或 生产 部 署 。 


笔者 将 以 下 面 的 示例 配置 来 介绍 如 何 使 用 配置 文件 来 管理 私有 仓库 。 


18.4.1 示例 配置 


代码 如 下 : 


version: 0.1 
1og: 
level: debug 
fields: 
service: registry 
environment: development 
hooks: 
— type: mail 
disabled: true 
levels: 
- panic 
options: 
smtp: 
addr: mail.example.com:25 
username: mailuser 
password: password 
insecure: true 
from: senderQexample.com 
to: 
— errors@example.com 
storage: 
delete: 
enabled: true 
cache: 
blobdescriptor: redis 
filesystem: 
rootdirectory: /var/lib/registry 
maintenance: 
uploadpurging: 
enabled: false 
http: 
addr: :5000 
debug: 
addr: localhost:5001 
headers: 
X-Content-Type-Options: [nosniff] 
redis: 
addr: localhost:6379 
pool: 
maxidle: 16 
maxactive: 64 
idletimeout: 300s 
dialtimeout: 10ms 
readtimeout: 10ms 
writetimeout: 10ms 
notifications: 
endpoints: 
— name: local-5003 
url: http://localhost:5003/callback 
headers: 
Authorization: [Bearer <an example token>] 
timeout: 1s 
threshold: 10 
backoff: 1s 
disabled: true 
- name: local-8083 
url: http://localhost:8083/callback 
timeout: 1s 
threshold: 10 
backoff: 1s 
disabled: true 
health: 
storagedriver: 
enabled: true 


interval: 10s 
threshold: 3 


18.4.2 选项 


这 些 选 项 以 yaml 文 件 格式 提供 ， 用 户 可 以 直接 进行 修改 ， 也 可 以 添加 自 定义 的 模板 段 。 


默认 情况 下 ， 变 量 可 以 从 环境 变量 中 读 取 ， 例 如 log.level: debug 可 以 配置 为 : 


export LOG LEVEL=debug 


比较 时 


1. 版 本 信息 


要 的 选项 包括 版 本 信息 、log 选 项 、hooks 选 项 、 存 储 选 项 、 认 证 选项 、HTTP 


选 


项 、 通 知 选项 、redis 选 项 、 健 康 监控 选项 、 代 理 选 项 和 验证 选项 等 。 下 面 分 别 介绍 这 些 选 项 。 


Version: 0.1 


2.log 选 项 


日 志 相 关 : 


1og: 

level: debug 

formatter: text 

fields : 
service: registry 
environment: staging 


参数 说 明 : 


“ level: 字符 串 类 型 ， 标 注 输出 调试 信息 的 级 别 ， 包 括 debug、info、warn、error。 


“ fomatter: 字符 串 类 型 ， 日 志 输出 的 格式 ， 包 括 text、json、logstash 等 。 
“ fields: 增加 到 日 志 输 出 消息 中 的 键 值 对 ， 可 以 用 于 过 滤 日 志 。 
3.hooks 选 项 


配置 当 仓库 发 生 异 常 时， 通过 邮件 发 送 日 志 时 的 参数 : 


hooks : 
— type: mail 
levels: 
= an 
options: 
smtp: 
addr: smtp.sendhost.com:25 
username: sendername 
password: password 
insecure: true 
from: name@sendhost.com 
to: 
— name@receivehost .com 
4. 存 储 选项 


storage 选 项 将 配置 存储 的 引擎 ， 默 认 支 持 包括 本 地 文件 系统 、Google 云 存储 、AWs S3 云 存储 和 OpenStack Swift 分 布 式 存储 等 ， 如 下 所 示 : 


storage: 
filesystenm: 
rootdirectory: /var/lib/registry 
azure: 
accountname: accountname 
accountkey: base64encodedaccountkey 
container: containername 
gcs: 
bucket: bucketname 
keyfile: /path/to/keyfile 
rootdirectory: /gcs/object/name/prefix 
3 
accesskey: awsaccesskey 
secretkey: awssecretkey 
region: us-west-1 
regionendpoint: http://myobjects.local 
bucket: bucketname 
encrypt: true 
keyid: mykeyid 
secure: true 
v4auth: true 
chunksize: 5242880 
multipartcopychunksize: 33554432 
multipartcopymaxconcurrency: 100 
multipartcopythresholdsize: 33554432 
rootdirectory: /s3/object/name/prefix 
Swift: 
username: username 
password: password 


authurl: https://storage.myprovider.com/auth/v1.0 or https://storage. 


myprovider.com/v2.0 or https://storage.myprovider.com/v3/auth 


tenant: tenantname 
tenantid: tenantid 
domain: domain name for Openstack Identity v3 API 
domainid: domain id for Openstack Identity v3 API 
insecureskipverify: true 
region: fr 
container: containername 
rootdirectory: /swift/object/name/prefix 
Oss: 
accesskeyid: accesskeyid 
accesskeysecret: accesskeysecret 
region: OSS region name 
endpoint: optional endpoints 
internal: optional internal endpoint 
bucket: 0SS bucket 
encrypt: optional data encryption setting 
secure: optional ssl setting 
chunksize: optional size valye 
rootdirectory: optional root directory 
inmemory: 


delete: 
enabled: false 
Cache: 
blobdescriptor: inmemory 
maintenance: 
uploadpurging: 
enabled: true 
age: 168h 
interval: 24h 
dryrun: false 
redirect: 
disable: false 


比较 重要 的 选项 如 下 : 
“ maintenance; 配置 维护 相关 的 功能 ， 包 括 对 孤立 旧 文 件 的 清理 、 开 启 只 读 模式 等 ; 
“ delete: 是 否 允 许 删除 镜像 功能 ， 默 认 关 闭 ; 
“ cache: 开启 对 镜像 层 元 数据 的 缓存 功能 ， 默 认 开 启 ; 

5. 认 证 选项 


对 认证 类 型 的 配置 ， 如 下 所 示 : 


auth: 
silly: 
realm: silly-realm 
service: silly-service 
token: 
realm: token-realm 
service: token-service 
issuer: registry-token-issuer 
rootcertbundle: /root/certs/bundle 
htpasswd: 
realm: basic-realm 
path: /path/to/htpasswd 


比较 重要 的 选项 如 下 : 


“silly: 仅 供 测试 使 用 ， 只 要 请 求 头 带 有 认证 域 即 可 ， 不 做 内 容 检查 ; 

“ token: 基于 token 的 用 户 认 证 ， 适 用 于 生产 环境 ， 需 要 额外 的 token 服 务 来 支持 ; 
“htpasswd: 基于 Apache htpasswd 密 码 文件 的 权限 检查 。 

6.HTTP 选 项 


跟 HTTP 服 务 相 关 的 配置 ， 如 下 所 示 : 


http: 
addr: localhost:5000 
net: tcp 
prefix: /my/nested/registry/ 
host: https://myregistryaddress.org:5000 
secret: asecretforlocaldevelopment 
relativeurls: false 
tlhss 
certificate: /path/to/x509/public 
key: /path/to/x509/private 
clientcas: 
- /path/to/ca.pem 
- /path/to/another/ca.pem 
letsencrypt: 
cachefile: /path/to/cache-file 
email: emailused@letsencrypt.com 
debug: 
addr: localhost:5001 
headers: 
X-Content-Type-Options: [nosniff] 
http2: 
disabled: false 


其 中 的 参数 如 下 : 

“ addr: 必 选 ， 服 务 监听 地 址 ; 

“sectet: 必 选 ， 跟 安全 相关 的 随机 字符 囊 ， 用 户 可 以 自己 定义 ; 
“tls: 证 书 相关 的 文件 路 径 信息 ; 

“ http2: 是 否 开启 http2 支 持 ， 默 认 关 闭 。 

7. 通 知 选项 


有 事件 发 生 时 候 的 通知 系统 。 


notifications: 
endpoints: 
— name: alistener 
disabled: false 
url: https://my.listener.com/event 
headers: <http.Header> 
timeout: 500 
threshold: 5 
backoff: 1000 


8.redis 选 项 


Registry 可 以 用 Redis 来 缓存 文件 块 ， 这 里 可 以 配置 相关 选项 : 


redis: 
addr: localhost:6379 
password: asecret 
gb: 0 


dialtimeout: 10ms 
readtimeout: 10ms 
writetimeout: 10ms 
Pool: 
maxidle: 16 
maxactive: 64 
idletimeout: 300s 


9 .健康 监控 选项 


跟 健康 监控 相关 ， 主 要 是 对 配置 服务 进行 检测 判断 系统 状态 ， 如 下 所 示 : 


health: 
storagedriver: 
enabled: true 
interval: 10s 
threshold: 3 
file: 


- file: /path/to/checked/file 


interval: 10s 
http: 


- uri: http://server.to.check/must/return/200 


headers: 


Authorization: [Basic QWxhZGRpbjpvcGVuIHN1c2Ft2ZQ==] 


statuscode: 200 

timeout: 3s 

interval: 10s 

threshold: 3 
tcP : 


- addr: redis-server.domain.com:6379 


timeout: 3s 
interval: 10s 
threshold: 3 


默认 并 未 启用 。 


10. 代 理 选项 


配置 Registry 作 为 一 个 pull 代 理 ， 从 远 端 (目前 仅 支持 官方 仓库 ) 下 拉 Docker 镜 像 ， 如 下 所 示 : 


proxy: 


remoteurl: https://registry-1.docker.io 


username: [username] 
password: [password] 


之 后 ， 用 户 可 以 通过 如 下 命令 来 配置 Docker 使 


代理 : 


$ docker --registry-mirror=https://myrepo.com:5000 daemon 


11. 验 证 选项 


限定 来 自 指定 地 址 的 客户 端 才 可 以 执行 Push 操作 : 


Validation: 
enabled: true 
manifests: 

urls: 
allow: 


— ^https?://([^/]+\.)*example\.com/ 


geny: 


— ^https?://www\ .example\ .com/ 


18.5 ”批量 管理 镜像 


在 之 前 章节 中 ， 笔 者 介绍 了 如 何 对 单个 镜像 进行 上 传 、 下 载 的 操作 。 有 时 候 ， 本 地 镜像 很 多 ， 逐 个 打 标 记 进行 操作 将 十 分 浪费 时 间 。 这 里 将 以 批量 上 传 镜像 为 例 ， 介 绍 如 何 利用 脚本 实现 对 镜像 的 批量 


化 处 理 。 


1. 批 量 上 传 指定 镜像 


可 以 使 用 下 面 的 push_images.sh 脚 本 ， 批 量 上 传 本 地 的 镜像 到 注册 服务 器 中 ， 默 认 是 本 地 注册 服务 器 127.0.0.1:5000， 用 


户 可 以 通过 修改 registry=127.0.0.1:5000 这 行 来 指定 目标 注册 服务 器 : 


#!/bin/sh 


This script will upload the given local images to a registry server ($registry 


is the default value). 


Usage: push images imagel [image2http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...] 


# 
# See: https://github.com/yeasy/docker practice/blob/master/_local/push images.sh 
# 
# 


Author: yeasy@github 
# Create: 2014-09-23 


#The registry server address where you want push the images into 


registry=127.0.0.1:5000 


### DO NOT MODIFY THE FOLLOWING PART, UNLESS YOU KNOW WHAT IT MEANS ### 


echo r (){ 
[ $# -ne 1 ] && return 0 
echo -e "\033[31m$1\033[0m" 


} 

echo g () { 
[ $# -ne 1 ] && return 0 
echo -e "\033[32m$1\033[0m" 


} 

echoy () { 
[ $# -ne 1 ] && return 0 
echo -e "\033[33m$1\033[0m" 


} 
echo b () { 
[ $# -ne 1 ] && return 0 
echo -e "\033[34m$1\033[0m" 
} 
usage() { 
docker images 


echo "Usage: $0 registryl:tagl [registry2:tag2http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/...]" 


} 
[ $# -lt 1 ] && usage && exit 


echo b "The registry server is $registry" 


for image in "$@" 
do 


echo b "Uploading $imagehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/..." 


docker tag $image $registry/$image 


docker push $registry/$image 


docker rmi $registry/$image 
echo g "Done" 
done 


建议 把 脚本 存放 到 本 地 的 可 执行 路 径 下 ， 例 如 /usr/local/bin/ 下 面 。 然 后 添加 可 执行 权限 ， 就 可 以 使 用 该 脚本 了 : 


$ sudo chmod atx /usr/local/bin/push images.sh 


例如 ， 推 送 本 地 的 ubuntu: latest 和 centos: centos7 两 个 镜像 到 本 地 仓库 : 


$ ./push images.sh ubuntu:latest centos:centos7 

The registry server is 127.0.0.1 

Uploading ubuntu:1latesthttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/ 
The push refers to a repository [127.0.0.1:5000/ubuntu] (len: 1) 

Sending image list 
Pushing repository 
Image 511136ea3c5a 
Image bfb8b5a2ad34 
Image clf3bdbd8355 
Image 897578f527ae 
Image 9387bcc9826e 


127.0.0.1:5000/ubuntu (1 tags) 

already pushed, skipping 

already pushed, skipping 

already pushed, skipping 

already pushed, skipping 

already pushed, skipping 

Image 809ed259f845 already pushed, skipping 

Image 96864a7d2df3 already pushed, skipping 

Pushing tag for rev [96864a7d2df3] on {http://127.0.0.1:5000/v1/repositories/ 
ubuntu/tags/latest} 

Untagged: 127.0.0.1:5000/ubuntu:1latest 

Done 

Uploading centos:centos7http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033 

The push refers to a repository [127.0.0.1:5000/centos] (len: 1) 

Sending image list 

Pushing repository 127.0.0.1:5000/centos (1 tags) 

Image 511136ea3c5a already pushed, skipping 

34e94e67e63a: Image successfully pushed 

70214e5d0a90: Image successfully pushed 

Pushing tag for rev [70214e5d0a90] on {http://127.0.0.1:5000/v1/repositories/ 
centos/tags/centos7} 

Untagged: 127.0.0.1:5000/centos:centos7 

Done 


OEBPS/Text/... 


/OEBPS/Text/... 


上 传 后 ， 查 看 本 地 镜像 ， 会 发 现 上 传 中 创建 的 临时 标签 也 同时 被 清理 了 。 


2. 上 传 本 地 所 有 镜像 

在 push_images 工 具 的 基础 上 ， 还 可 以 进一步 的 创建 push_all 工 具 ， 来 上 传 本 地 所 有 镜像 : 
#!/bin/sh 

# This script will upload all local images to a registry server ($registry is 


the default value). 
This script requires the push images, which can be found at https://github.com/ 
yeasy/docker practice/blob/master/_local/push images.sh 
Usage: push all 
Author: yeasy@github 
Create: 2014-09-23 
for image in ‘docker images|lgrep -V "REPOSITORY"|grep -V "<none>"|awk '{print $1":"$S2} 
do 
push images.sh $image 
done 


另外 ,推荐 读者 把 它 放 在 /usr/local/bin/ 下 面 ， 并 添加 可 执行 权限 。 这 样 就 可 以 通过 push_all 命 令 来 同步 本 地 所 有 镜像 到 本 地 私有 仓库 了 。 


同样 ， 读 者 可 以 试 着 修改 脚本 ， 实 现 批量 化 下 载 镜像 、 删 除 镜 像 、 更 新 镜像 标签 等 更 多 的 操作 。 


18.6 ”使 用 通知 系统 


F 
上 


Docker Registry v2 还 内 置 提供 了 Notification 功 能 ， 提 供 了 9 


FE 常 方 便 、 快 捷 的 集成 接口 ， 避 免 了 v1 中 需要 用 户 自己 实现 的 麻烦 。 


Notification 功 能 其 实 就 是 Registry 在 有 事件 发 生 的 时 候 ， 向 
webhook 事 件 的 payload， 为 集成 服务 提供 事件 详 | 


户 
情 ， 并 通过 Registry v2 的 


己 定义 的 地 址 发 送 webhook 通 知 。 
内 置 广播 系统 发 送 到 用 户 定义 的 


前 的 事件 包括 镜像 manifest 的 push、pull， 镜像 
肛 务 接口 ， Registry v2 称 这 些 用 户 服务 接口 为 Endpoints。 


层 的 push、pull。 这 些 动作 会 被 序列 化 成 


Registry 服 务 器 的 事件 会 通过 HTTP 协 议 发 送 到 用 户 定义 的 所 有 Endpoints 上 ， 而 且 每 个 Registry 实 例 的 每 个 Endpoint 都 有 自己 独立 的 队列 ， 重 试 选 项 以 及 HTTP 的 目的 地 址 。 当 一 个 动作 发 生 时 ， 会 被 转 
换 成 对 应 的 事件 并 放置 到 一 个 内 存 队 列 中 。 镜 像 服务 器 会 依次 处 理 队列 中 的 事件 ， 并 向 用 户 定义 的 Endpoint 发 送 请 求 。 事 件 发 送 处 理 是 串 行 的 ， 但 是 Registry 服 务 器 并 不 会 保证 其 到 达 顺 序 。 


18.6.1 相关 配置 


Notification 在 Docker Registry 中 的 相关 配置 如 下 : 


notifications: 
endpoints: 
name: cd-handler 
disabled: false 
url: http://cd-service-host/api/v1l/cd-service 
headers: 
Authorization: 
timeout: 1s 
threshold: 5 
backoff: 10s 


[tOKET 玉 坟 尖 交 六 六 光 交 交大 罗 交 交大 次 交 次 大] 


上 面 的 配置 会 在 pul| 或 者 push 发 4 
行 身份 认证 。 更 新 配置 后 ， 需 要 


E 时 向 http://cd-service-host/api/v1/cd-service 发 送 事 件 ， 并 在 HTTP 请 求 的 header 中 传 入 认证 信 
看 启 Registry 服 务 器 ， 如 果 配 置 正确 ， 会 在 日 志 中 看 到 对 应 的 提示 信息 ， 比 如 : 


息 ， 


可 以 是 Basic、token、Bearer 等 模式 ， 


于 接收 


件 方 进 


configuring endpoint listener (http://cd-service-host/api/v1l/cd-service), timeout=1s, 
headers=map [Authorization: [token ******]] 


此 时 ， 用 户 再 通过 docker 客 户 端 去 push 或 pull， 或 者 查询 一 些 manifiest 信 息 时 ， 就 会 有 相应 的 事件 发 送 到 定义 的 Endpoint 上 。 
接 下 来 看 一 下 事件 的 格式 和 其 中 的 主要 属性 : 


{ 


"events": [ 


"id": "70f44894-c4b4-4be8-9691-d37db77074cd", 
"timestamp": "2016-06-05T01:57:04.6542561492", 
"action"; "push", 

"target" 


ediaType": "application/vnd.docker.distribution.manifest.vl+json", 
"olivear: 45765; 
"digest": "sha256:fd0af29ba2ae034449bffbl8dd6db2ed90d798464cc43 
aa81e63770713edaea8", 
"length": 45765, 
"repository": “test-user/hello-world” ， 
nurl": "http://registry-server/v2/test-user/hello-world/manifests/ 
sha256:fd0af29ba2ae034449bffb18dd6db2ed90d798464cc43aa81e 
63770713edaea8" 
] 
"request": { 
"id": "9d3d837f-d7ed-4fa9-afb4-dda58687a6ce", 
"addr": “client-host:46504", 
"host": “registry-server", 
"method": "PUT", 
"useragent": "docker/1.9.1 go/gol.4.2 git-commit/a34ald5 kernel 
/4.2.0-35-generic os/linux arch/amd64" 
] 
”actGPT3 玫 
"ane": test-user" 
] 
"source": { 
"addr": "8el4c2a190f2:5000"， 
"instanceID": "c564003e-dd9b-4a9b-8a30-fe8564e97ba9" 
} 
} 


每 个 事件 的 payload， 都 是 一 个 定义 好 的 JSON 格 式 的 数据 。 


通知 系统 的 主要 属性 主要 包括 action、target.mediaType、target.repository、target.url、request.method、request.useragent、actor.name 等 ， 参 见 表 18-1。 


表 18-1 通知 系统 的 主要 属性 


冰 
性 


属 性 描 述 
action string 事件 所 关联 的 动作 类 型 ，pull 或 push 
target.mediaType string 时 间 payload 类 型 ， 如 application/octet-stream 等 
target.repository string 镜像 名 称 
target.url string 事件 对 应 的 数据 地 址 ， 可 以 通过 这 个 URL 来 获取 此 事件 带 来 的 更 改 
request .method string HTTP 请 求 的 方法 
redquest .useragent string 带 来 此 事件 的 客户 端 类 型 
actor .name string 发 起 此 次 动作 的 用 户 


18.6.2 _ Notification 的 使 用 场景 


理解 了 如 何 配置 Docker Registry v2 的 Notification、Endpoint， 以 及 接收 到 的 Event 的 数据 格式 ， 我 们 就 可 以 很 方便 地 实现 一 些 个 性 化 的 需求 。 这 里 简单 列举 两 个 场景 ， 一 个 是 如 何 统计 镜像 的 上 传 、 
下 载 次 数 ， 方 便 了 解 镜像 的 使 用 情况 ， 另 一 个 场景 是 对 服务 的 持续 部 署 ， 方 便 管理 镜像 ， 参 见 图 18-2。 


和 显示 镜像 的 上 传 、 下 载 次 数 


Notification 


用 户 


Docker 
页 面 


Registry Server 


自动 部 署 
服务 根据 规则 用 上 传 上 的 镜像 部 署 服务 


图 18-2 ”通知 系统 整合 持续 部 署 


1 .镜像 上 传 、 下 载 计数 


很 常见 的 一 个 场景 是 根据 镜像 下 载 次 数 ， 向 用 户 推荐 使 用 最 多 的 镜像 ， 或 者 统计 镜像 更 新 的 频率 ， 以 便 了 解 用 户 对 镜像 的 维护 程度 。 


户 可 以 利用 Notification 的 功能 ， 定 义 自 己 的 计数 服务 ， 并 在 Docker Registry 上 配置 对 应 的 Endpoint。 在 有 pull、push 动 作 发 生 时 ， 对 相应 镜像 的 下 载 或 者 上 传 次 数 进 行 累加 ， 达 到 计数 效果 。 然 后 
添加 一 个 查询 接口 ， 供 用 户 查看 用 户 镜像 的 上 传 、 下 载 次 数 ， 或 者 提供 排行 榜 等 扩展 服务 。 


2. 实 现 应 用 的 自动 部 署 


在 这 个 场景 下 ， 可 以 在 新 的 镜像 push 到 Docker Registry 服 务 器 时 候 ， 自 动 创建 或 者 更 新 对 应 的 服务 ， 这 样 可 以 快速 查看 新 镜像 的 运行 效果 或 者 进行 集成 测试 。 用 户 还 可 以 根据 事件 中 的 相应 属性 ， 比 
如 用 户 信息 、 镜 像 名 称 等 ， 调 用 对 应 的 服务 部 署 接口 进行 自动 化 部 署 操作 。 


18.7 本 章 小 结 


本 章 详 细 介绍 了 使 用 Docker Registry 的 两 种 主要 方式 : 通过 容器 方式 运行 和 通过 本 地 安装 运行 并 注册 为 系统 服务 ， 以 及 添加 Nginx 反 向 代理 ， 添 加 用 户 认 证 功能 。 接 下 来 还 详细 介绍 了 Docker 
Registry 配 置 文件 中 各 个 选项 的 含义 和 使 用 。 最 后 演示 如 何 通过 脚本 来 实现 对 镜像 的 批量 管理 ， 以 及 使 用 Registry 的 通知 系统 来 支持 更 多 应 用 场景 。 读 者 通过 本 章 的 学 习 ， 将 能 轻松 搭建 一 套 私 有 的 仓库 服务 


环境 ， 并 对 其 进行 管理 操作 。 


私有 仓库 服务 是 集中 存储 镜像 的 场所 ， 它 的 性 能 和 稳定 性 将 影响 基于 Docker 容 器 的 开发 和 部 署 过 程 。 在 生产 环境 中 ， 笔 者 推荐 使 用 负载 均衡 来 提高 仓库 服务 的 性 能 ; 还 可 以 利用 HAProxy 等 方式 对 仓库 
服务 进行 容错 。 同 时 ， 为 了 安全 考虑 ， 要 为 仓库 访问 启用 HTTPS 等 加 密 协 议 来 确保 通信 的 安全 。 


第 19 章 ”安全 防护 与 配置 


Docker 是 基于 Linux 操 作 系统 实现 的 应 用 虚拟 化 。 运 行 在 容器 内 的 进程 ， 跟 运行 在 
在 生产 环境 中 是 十 分 关键 的 衡量 因素 。 


Docker 容 器 的 安全 性 ， 很 大 程度 上 依赖 于 Linux 系 统 自身 。 目 前 ， 在 评估 Docker 的 安全 性 时 ， 主 要 考虑 下 面 几 个 方面 : 


“ Linux 内 核 的 命名 空间 机 制 提供 的 容器 隔离 安全 ; 

“ Linux 控 制 组 机 制 对 容器 资源 的 控制 能 力 安全 ; 

“ Linux 内 核 的 能 力 机 制 所 带 来 的 操作 权限 安全 ; 

“ Docker 程 序 (特别 是 服务 端 本 身 的 抗 攻击 性 ; 

“ 其 他 安全 增强 机 制 ( 包 括 AppArmor、SELinux 等 ) 对 容器 安全 性 的 影响 ; 


“ 通过 第 三 方 工具 (如 Docker Bench 工 具 ) 对 Docker 环 境 的 安全 性 进行 评估 。 


本 章 就 针对 这 几 个 方面 进行 讨论 。 


19.1 ”命名 空间 隔离 的 安全 


本 地 系统 中 的 进程 本 质 上 并 无 区 别 ， 配 置 不 合适 的 安全 策略 将 可 能 给 本 地 系统 带 来 安全 风险 。 因 此 ，Docker 的 安全 性 


Docker 容 器 和 LXC 容 器 在 实现 上 很 相似 ， 所 提供 的 安全 特性 也 基本 一 致 。 当 用 docker run 命 令 启动 一 个 容器 时 ，Docker 将 在 后 台 为 容器 创建 一 个 独立 的 命名 空间 。 


命名 空间 提供 了 最 基础 也 是 最 直接 的 隔离 ， 在 容器 中 运行 的 进程 不 会 被 运行 在 本 地 主机 上 的 进程 和 其 他 容器 通过 正常 渠道 发 现 和 影响 。 


例如 ， 通 过 命名 空间 机 制 ， 每 个 容器 都 有 自己 独 有 的 网 络 栈 ， 意 味 着 它们 不 能 访问 其 他 容器 的 套 接 字 (socket) 或 接口 。 当 然 ， 容 器 默认 可 以 与 本 地 主机 网 络 连通 ， 如 果 主 机 系统 上 做 了 相应 的 交换 设 
置 ， 容 器 可 以 像 跟 主 机 交互 一 样 和 其 他 容器 交互 。 启 动容 器 时 ， 指 定 公 共 端 口 或 使 用 连接 系统 ， 容 器 可 以 相互 通信 了 (用 户 可 以 根据 配置 来 限制 通信 的 策略 ) 。 


从 网 络 架构 的 角度 来 看 ， 所 有 的 容器 实际 上 是 通过 本 地 主机 的 网 桥接 口 (docker0) 进行 相互 通信 ， 就 像 物理 机 器 通过 物理 交换 机 通信 一 样 。 


那么 ，Linux 内 核 中 实现 命名 空间 (特别 是 网 络 命名 空间 ) 的 机 制 是 否 足够 成 熟 呢 ? 


Linux 内 核 从 2.6.15 版 本 (2008 年 7 月 发 布 ) 开始 引入 命名 空间 ， 至 今 经 历 了 数 年 的 演化 和 改进 ， 并 应 用 于 诸多 大 型 生产 系统 中 。 


实际 上 ， 命 名 空间 的 想法 和 设计 提出 的 时 间 要 更 早 ， 最 初 是 OpenVZ 项 目的 重要 特性 。OpenVZ 项 目 早 在 2005 年 就 已 经 正式 发 布 ， 其 设计 和 实现 更 加 成 熟 。 


当然 ， 与 虚拟 机 方式 相 比 ， 通 过 命名 空间 来 实现 的 隔离 并 不 是 那么 绝对 。 运 行 在 容器 中 的 应 用 可 以 直接 访问 系统 内 核 和 部 分 系统 文件 。 因 此 ， 用 户 必须 保证 容器 中 应 用 是 安全 可 信 的 (这 跟 保 证 运行 在 
系统 中 的 软件 是 可 信 的 一 样 ) ， 否 则 本 地 系统 将 可 能 受到 威胁 ， 即 必须 保证 镜像 的 来 源 和 自身 可 靠 。 


Docker 自 1.3.0 版 本 起 对 镜像 管理 引入 了 签名 系统 ， 加 强 了 对 镜像 安全 性 的 防护 ， 


19.2 ”控制 组 资源 控制 的 安全 


控制 组 是 Linux 容 器 机 制 中 的 另外 一 个 关键 组 件 ， 它 负责 实现 资源 的 审计 和 限制 。 


户 可 以 通过 签名 来 验证 镜像 的 完整 性 和 正确 性 。 


控制 组 机 制 的 相关 技术 出 现 于 2006 年 ，Linux 内 核 从 2.6.24 版 本 开始 正式 引入 该 技术 。 


户 执行 docker run 命 令 启动 一 个 Docker 容 器 时 ，Docker 将 通过 Linux 相 关 的 调用 ， 在 后 台 为 容器 创建 一 个 独立 的 控制 组 策略 集合 ， 该 集合 将 限制 容器 内 应 用 对 资源 的 消耗 。 


控制 组 提供 了 很 多 有 用 的 特性 。 它 确保 各 个 容器 可 以 公平 地 分 享 主机 的 内 存 、CPU、 磁 盘 1O 等 资源 ; 当然 ， 更 重要 的 是 ， 通 过 控制 组 ， 可 以 限制 容器 对 资源 的 占用 ， 确 保 了 当 某 个 容器 对 资源 消耗 过 大 


时 ， 不 会 影响 到 本 地 主机 系统 和 其 他 容器 。 


尽管 控制 组 不 负责 隔离 容器 之 间 相 互 访问 、 处 理 数据 和 进程 ， 但 是 它 在 防止 恶意 攻击 特别 是 拒绝 服务 攻击 (DDoS) 方面 是 十 分 有 效 的 。 


对 于 支持 多 用 户 的 服务 平台 (比如 公有 的 各 种 Paas、 容 器 云 ) 上 ， 控 制 组 尤其 重要 。 例 如 ， 当 个 别 应 用 容器 出 现 异常 的 时 人 息 ， 可 以 保证 本 地 系统 和 其 他 容器 正常 运行 而 不 受 影响 ， 从 而 避免 引发 “ 雪 


裔 ”灾难 。 


19.3 ”内 核能 力 机 制 


能 力 机 制 (Capability) 是 Linux 内 核 一 个 强大 的 特性 ， 可 以 提供 细 粒 度 的 权限 访问 控制 。 传 统 的 Unix 系 统 对 进程 权限 只 有 根 权限 (用 户 id 为 0， 即 为 root 用 户 ) 和 非 根 权限 (用 户 非 root 用 户 ) 两 种 粗 


粒度 的 区 别 。 


Linux 内 核 


例如 ， 一 个 Web 服 务 进程 只 需要 绑 定 一 个 低 了 


限 。 


默认 情况 下 ，Docker 启 动 的 容器 被 严格 限制 只 允许 使 


2.2 版 本 起 支持 能 力 机 制 ， 它 将 权限 划分 为 更 加 细 粒 度 的 操作 能 力 ， 既 可 以 作用 在 进程 上 ， 也 可 以 作用 在 文件 上 。 


F1024 的 端 


mknod、setfcap、audit_ write， 等 等 。 


使 


器 跟 这 些 进程 是 不 同 的 ， 


“SS 


因为 几 科 


访问 被 宿主 主机 上 的 ssh 服 务 来 管理 ; 


所 有 的 特权 进程 都 由 容器 以 外 的 支持 系统 来 进行 管理 ， 例 如 : 


"cron 通常 应 该 作为 用 户 进程 执行 ， 权 限 交 给 使 用 它 服 务 的 应 用 来 处 理 ; 


“日 志 系 统 可 由 Docker 或 第 三 方 服务 管理 ; 


“ 硬件 管理 无 关 紧要 ， 容 器 中 也 就 无 需 执行 udevd 以 及 类 似 服务 ; 


“ 网 络 管理 也 都 在 主机 上 设置 ， 除 非特 殊 需 求 ， 容 器 不 需要 对 网 络 进行 配置 。 


从 上 面 的 例子 可 以 看 出 ， 大 部 分 情况 下 ， 容 器 并 不 需要 “真正 的 ”root 权 限 ， 容 器 只 需要 少数 的 能 力 即 可 。 为 了 加 强 安 


“ 禁止 任何 文件 挂 载 操 作 ; 


“ 禁止 直接 访问 本 地 主机 的 套 接 字 ; 


， 容 器 可 以 禁 


一 些 没 必 


的 权限 。 包 括 : 


“ 禁止 访问 一 些 文件 系统 的 操作 ， 比 如 创建 新 的 设备 、 修 改 文件 属性 等 ; 


“ 禁止 模块 加 载 。 


这 样 ， 就 算 攻 击 者 在 容器 中 取得 了 root 权 限 ， 也 不 能 获得 本 地 主机 的 较 高 权限 ， 能 进行 的 破坏 也 有 限 。 


不 恰当 地 分 配 了 内 核能 
统 的 任意 文件 目录 。 


， 会 导致 容器 内 应 


默认 情况 下 ，Docker 采 


日 


名 单机 制 ， 禁 


也 可 以 根据 


了 必需 的 一 些 能 力 之 外 的 其 他 权限 ， 


自身 需求 来 为 Docker 容 器 


已 


19.4 ”Docker 服 务 端的 防护 


使 


Docker 容 器 的 核心 是 Docker 服 务 端 。 


首先 ， 必 须 确保 只 有 可 信 的 


的 时 候 将 主机 的 根 目 录 / 映 射 到 容器 的 /host 


系统 到 虚拟 机 系统 。 


这 将 会 造成 很 严重 的 安 


后 果 。 


为 了 加 强 对 
户 使 


肛 务 端的 保护 ， Doc 


Docker 服 务 的 运行 目前 还 需要 root 权 限 的 支持 ， 


此 ， 当 提供 容器 创建 服务 时 (例如 通过 一 个 Web 服 务 器 ) ， 要 更 加 注意 进行 参数 的 安全 检查 ， 防 止 恶 意 的 上 


额外 的 权限 。 


因此 服务 端 安全 性 十 分 关键 。 


口 的 权限 ， 并 不 需要 完整 的 root 权 限 。 那 么 它 只 需要 被 授权 net_bind_service 能 力 即 可 。 此 外 ， 还 有 很 多 其 他 的 类 似 能 力 来 避免 进程 获取 root 权 


内 核 的 一 部 分 能 力 ， 包 括 chown、dac _override、fowner、kill、setgid、setuid、setpcap、net_bind service、net raw、sys_chroot、 


能 力 机 制 对 加 强 Docker 容 器 的 安全 性 有 很 多 好 处 。 通 常 ， 在 服务 器 上 会 运行 一 堆 需 要 特权 权限 的 进程 ， 包 括 ssh、cron、syslogd、 硬 件 管理 工具 模块 (例如 负载 模块 ) 、 网 络 配置 工 ， 


由 
由 


前 支持 CAP_ CHOWN、CAP_DAC_OVERRIDE、CAP_FSETID、CAP_FOWNER、CAP_MKNOD、 
CAP_NET_RAW、CAP_SETGID、CAP_SETUID、CAP_SETFCAP、CAP_SETPCAP、CAP_NET_BIND_SERVICE、CAP_SYS_ CHROOT、CAP_KILL、CAP_AUDIT_WRITE 等 。 


户 


户 仍 可 以 利 
强 保护 。 


书 来 旋 


HTTP 提 供 REST AP 


er 的 REST API (客户 端 有 
Unix 权 限 检查 来 加 强 套 接 字 的 访问 安全 。 


访问 。 建 议 使 用 安全 机 


特定 参数 来 创建 一 些 破坏 性 的 容器 。 


来 跟 服务 端 通信 的 接 


) 在 0.5.2 之 后 使 


本 地 的 Unix 套 接 字 机 制 蔡 代 了 原先 绑 定 在 127.0.0.1 上 的 TCP 套 接 字 ， 


最 近 改 进 的 Linux 命 名 空间 机 制 将 可 以 实现 使 F 


目前 ，Docker 自 身 改进 安全 防护 的 


“ 将 容器 的 root 用 户 映射 到 本 地 主机 J 


“ 允许 Docker 服 务 端 在 非 root 权 限 下 运行 ， 利 用 安全 可 靠 的 子 进 程 来 代理 执行 需要 特权 权限 的 操作 。 这 些 子 进程 将 只 允许 在 限定 范围 内 进行 操作 ， 例 如 仅仅 负责 虚拟 网 络 设 定 或 文件 系统 管理 、 


19.5 ”更 多 安全 特性 的 使 用 


除了 能 力 机 制 之 外 ， 还 可 以 利 


一 些 现 有 的 安全 软件 或 机 制 来 增强 使 


非 root 用 户 来 运行 全 功能 的 容器 。 这 将 从 根本 上 解决 了 容器 和 主机 之 间 共 享 文件 系统 而 引起 的 安全 问题 。 
标 是 实现 以 下 两 个 重要 安全 特性 : 


上 的 非 root 用 户 ， 减 轻 容器 和 主机 之 间 因 权限 提升 而 引起 的 安全 问题 ; 


Docker 的 安全 性 ， 例 如 TOMOYO、AppArmor、SELinux、GRSEC 等 。 


Docker 当 前 默认 只 


已 


了 能 力 机 制 。 


户 可 以 选择 


已 


“ 在 内 核 中 启用 GRSEC 和 PAX， 这 将 增加 更 多 的 编译 


“ 使 用 一 些 有 增强 安全 


更 多 的 安全 方案 来 加 强 Docker 主 机 的 安全 ， 例 如 : 


p 运 行 时 的 安全 检查 ; 并 且 通 过 地 址 随机 化 机 制 来 避免 恶意 探测 等 。 启 用 该 特性 不 需要 Docker 进 行 任何 配置 ; 


特性 的 容器 模板 ， 比 如 带 AppArmor 的 模板 和 Redhat 带 SELinux 策 略 的 模板 。 这 些 模 板 提 供 了 额外 的 安全 特性 ; 


“用户 可 以 自 定义 更 加 严格 的 访问 控制 机 制 来 定制 安全 策略 。 


制 ， 确 保 只 有 可 信 的 网 络 或 VPN 网 络 ， 或 证 书 保护 机 制 ( 例 如 受 保护 的 stunnel 和 和 ssl 认证 ) 下 的 访问 可 以 进行 。 


因 


获取 破坏 本 地 系统 的 权限 。 例 如 ， 早 期 的 Docker 版 本 曾经 不 恰当 的 继承 CAP_DAC_READ_SEARCH 能 力 ， 导 致 容器 内 进程 可 以 通过 系统 调用 访问 到 本 地 系 


户 才 可 以 访问 到 Docker 服 务 。Docker 人 允许 用 户 在 主机 和 容器 间 共享 文件 夹 ， 同 时 不 需要 限制 容器 的 访问 权限 ， 这 就 容易 让 容器 突破 资源 限制 。 例 如 ， 恶 意 用 户 启动 容器 


录 中 ， 那 么 容器 理论 上 就 可 以 对 主机 的 文件 系统 进行 任意 修改 了 。 事 实 上 ， 几 乎 所 有 虚拟 化 系统 都 允许 类 似 的 资源 共享 ， 而 没 法 阻止 恶意 用 户 共享 主机 根 文件 


为 后 者 容易 遭受 跨 站 脚本 攻 


t 外 ， 还 可 以 使 


HTTPS 和 证 


配置 操作 


此 外 ， 在 将 文件 系统 挂 载 到 容器 内 部 时 候 ， 可 以 通过 配置 只 读 (read-only) 模式 来 避免 容器 内 的 应 用 通过 文件 系统 破坏 外 部 环境 ， 特 别 是 一 些 系 统 运行 状态 相关 的 目录 ， 包 括 但 不 限于 /proc/sys、 
/proc/irq、/proc/bus 等 等 。 这 样 ， 容 器 内 应 用 进程 可 以 获取 所 需要 的 系统 信息 ， 但 无 法 对 它们 进行 修改 。 


19.6 ”使 用 第 三 方 检测 工具 


前 面 笔者 介绍 了 大 量 增强 Docker 安 全 性 的 手段 。 要 逐一 去 检查 会 比较 繁琐 ， 好 在 已 经 有 了 一 些 进 行 自动 化 检查 的 开源 工具 ， 比 较 出 名 的 有 Docker Bench 和 clair。 下 面 分 别 介绍 。 


19.6.1 Docker Bench 


Docker Bench 是 一 个 开源 项 目 ， 代 码 托管 在 https://github.com/docker/docker-bench-security。 


该 项 目 按照 互联 网 安全 中 心 (Center for Internet Security，CIS) 对 于 Docker 1.11+ 的 安全 规范 进行 一 系列 环境 检查 ， 发 现 当前 Docker 部 署 在 配置 、 安 全 等 方面 的 潜在 问题 。 


CIS Docker 规 范 在 包括 主机 配置 、Docker 引 擎 、 配 置 文 件 权 限 、 镜 像 管 理 、 容 器 运行 时 环境 、 安 全 项 等 六 大 方 
部 署 的 安全 标准 。 


都 进行 了 相关 的 约束 和 规定 。 推 荐 大 家 在 生产 环境 中 使 用 Docker 时 ， 采 用 该 规范 作为 


回 


Docker Bench 自 身 也 提供 了 Docker 镜 像 ， 采 用 如 下 命令 ， 可 以 快速 对 本 地 环境 进行 安全 检查 。 


$ docker run -让 --net host --pid host --cap-add audit control \ 
-V /var/lib:/var/lib \ 可 
-Vv /var/run/docker.sock:/var/run/docker.sock \ 
-v /usr/lib/systemd:/usr/lib/systemd \ 
-Vv /etc:/etc --label docker bench security \ 
docker/docker-bench-security 


Docker Bench for Security v1.1.0 
Docker, Inc. (c) 2015- 


Checks for dozens of common best-practices around deploying Docker containers 

in production. 

Inspired by the CIS Docker 1.11 Benchmark: 
https://benchmarks.cisecurity.org/downloads/show-single/index.cfm?file=docker16.110 


Initializing Sun Sep 7 03:34:36 UTC 2016 


INFO] 1 - Host Configuration 

WARN] 1.1 - Create a separate Partition for containers 

PASS] 1.2 - Use an updated Linux Kernel 

PASS] 1.4 - Remove all non-essential services from the host - Network 

WARN] 1.5 - Keep Docker up to date 

WARN * Using 1.10.3, when 1.12.0 is current as of 2016-07-28 

INFO * Your operating system vendor may provide support and security 
maintenance for docker 

INFO] 1.6 - Only allow trusted users to control Docker daemon 

INFO * docker:x:999:ubuntu 

WARN] 1.7 ~- Failed to inspect: auditctl command not found. 

WARN] 1.8 - Failed to inspect: auditctl command not found. 

WARN] 1.9 - Failed to inspect: auditctl command not found. 

INFO] 1.10 -~ Audit Docker files and directories - docker.service 

INFO. * File not found 

INFO] 1.11 -~ Audit Docker files and directories - docker.socket 

INFO * File not found 

WARN] 1.12 - Failed to inspect: auditctl command not found. 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 


输出 结果 中 ， 带 有 不 同 的 级 别 ， 说 明 问 题 的 严重 程度 。 一 般 要 尽量 避免 出 现 WARN 或 以 上 的 问题 。 


19.6.2 clair 


CoreOs 


可 


队 推出 的 clair 支 持 对 容器 的 文件 层 进 行 扫描 从 而 发 现 潜在 漏洞 ， 项 目地 址 为 https://github.com/coreos/clair。 


读者 可 以 通过 如 下 命令 快速 体验 : 


curl -L https://raw.githubusercontent.com/coreos/clair/v1.2.2/docker-compose. 
yml -o $HOME/docker-compose.yml 

mkdir $HOME/clair config 

curl -L https://raw.githubusercontent .com/coreos/clair/v1.2.2/config.example. 
yaml -oO $HOME/clair config/config.yaml 

SEDITOR $HOME/clair config/config.yaml # Edit database source to be postgresql:// 
postgres:password@postgres:5432?sslmode=disable 

docker-compose -f $HOME/docker-compose.yml up -d 


WW WD 


19.7 本 章 小 结 


总 体 来 看 ， 基 于 Linux 上 成 熟 的 安全 机 制 以 及 结合 Apparmor、SELinux、GRSEC 等 安全 机 制 ， 可 以 很 好 地 保证 Docker 容 器 的 安全 。 


但 是 任何 技术 层面 实现 的 安全 ， 都 需要 合理 的 使 用 才能 得 到 巩固 ， 特 别 是 对 于 生产 系统 ， 可 能 遭遇 未 知 的 安全 风险 ， 一 定 要 配合 完善 的 监控 系统 来 加 强 管理 。 


在 使 用 Docker 过 程 中 ， 对 于 安全 问题 需要 注意 如 下 几 方面 : 


“ 在 使 用 Docker 容 器 运行 应 用 的 时 候 ， 一 定 要 牢记 容器 自身 所 提供 的 隔离 性 其 实 并 没有 那么 完善 ， 需 要 加 强 对 容器 内 应 用 的 安全 审查 。 要 时 刻 牢记 ， 容 器 即 应 用 ， 原 先 保障 应 用 安全 的 各 种 手段 ， 都 可 
以 合理 地 借鉴 利用 。 


“ 采用 专用 的 服务 器 来 运行 Docker 服 务 端 和 相关 的 管理 服务 ， 如 ssh 监 挖 和 进程 监控 、 管 理工 具 nrpe、collectd 等 ， 并 对 该 服务 器 启用 最 高 级 别 的 安全 机 制 ， 而 把 其 他 业务 服务 都 放 到 容器 中 去 运行 。 
“ 将 运行 Docker 容 器 的 机 器 划分 为 不 同 的 组 ， 互 相信 任 的 机 器 放 到 同一 个 组 内 ; 组 之 间 进行 安全 隔离 ; 同时 进行 定期 的 安全 检查 。 


“ 随 着 容器 大 规模 地 使 用 和 集成 ， 甚 至 组 成 容器 集群 。 需 要 考虑 在 容器 网 络 上 进行 必 备 的 安全 防护 ， 避 免 诸 如 DDoS、ARP 攻 击 、 规 则 表 攻 击 等 网 络 安全 威胁 ， 这 也 是 生产 环境 需要 关注 的 重要 问题 。 


第 20 章 高 级 网 络 功能 


本 章 将 介绍 Docker 中 关于 网 络 的 高 级 知识 ， 包 括 网 络 的 启动 和 配置 参数 、DNS 的 使 用 配置 、 容 器 访问 和 端口 映射 的 相关 实现 。 


接 下 来 ， 介 绍 在 一 些 具体 场景 中 ，Docker 支 持 的 网 络 定制 配置 ， 以 及 通过 Linux 命 令 来 调整 、 补 充 、 甚 至 替换 Docker 默 认 的 网 络 配置 。 


最 后 介绍 关于 Docker 网 络 的 一 些 工 具 和 项 目 。 


20.1 网络 启动 与 配置 参数 


Docker 启 动 时 会 在 主机 上 自动 创建 一 个 docker0 虚 拟 网 桥 ， 实 际 上 是 一 个 Linux 网 桥 ， 可 以 理解 为 一 个 软件 交换 机 ， 它 会 在 挂 载 其 上 的 接口 之 间 进 行 转发 ， 如 图 20-1 所 示 。 


vethXX vethYY vethZZ 


docker0 


725174231/16 


箱 主 主机 


图 20-1 Docker 网 络 


同时 ，Docker 随 机 分 配 一 个 本 地 未 占用 的 私有 网 段 (在 RFC1918 中 定义 ) 中 的 一 个 地 址 给 docker0 接 口 。 比 如 典型 的 172.17.42.1， 掩 码 为 255.255.0.0。 此 后 启动 的 容器 内 的 网 口 也 会 自动 分 配 一 个 同 
一 网 段 (172.17.0.0/16) 的 地 址 。 


当 创建 一 个 Docker 容 器 的 时 候 ， 同 时 会 创建 了 一 对 veth pair 接 口 〈 当 数据 包 发 送 到 一 个 接口 时 ， 另 外 一 个 接口 也 可 以 收 到 相同 的 数据 包 ) 。 这 对 接口 一 端 在 容器 内 ， 即 eth0; 另 一 端 在 本 地 并 被 挂 载 
到 docker0 网 桥 ， 名 称 以 veth 开 头 (例如 vethAQI2QT) 。 通 过 这 种 方式 ， 主 机 可 以 跟 容器 通信 ， 容 器 之 间 也 可 以 相互 通信 。 如 此 一 来 ，Docker 就 创建 了 在 主机 和 所 有 容器 之 间 一 个 虚拟 共享 网 络 。 


下 面 是 跟 Docker 网 络 相关 的 命令 参数 。 其 中 有 些 命令 选项 只 有 在 Docker 服 务 启动 的 时 候 才能 配置 ， 而 且 不 能 马上 生效 : 


“ -b BRIDGE or-bridge=BRIDGE 一 一 指定 容器 挂 载 的 网 桥 ; 
“ --bip=CIDR 一 一 定制 docker0 的 掩 码 ; 


* -HSOCKEThttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/...or--host=SOCKEThttp://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... 一 一 Docket 服 务 端 接 收 命令 的 通道 ; 


* --icc=true | 全 se 一 一 是 否 支 持 容器 之 间 进 行 通信 ; 


* -ip-forward=true |false 启用 net.ipv4.ip_forward， 即 打开 转发 功能 ; 


* --iptables=true |false- 禁止 Docker 添 加 iptables 规 则 ; 
“ -mtu=BYTES 一 一 容器 网 络 中 的 MTU。 
下 面 2 个 命令 选项 既 可 以 在 启动 服务 时 指定 ， 也 可 以 Docker 容 器 启动 (docker run) 时 候 指定 。 在 Docker 服 务 启动 的 时 候 指 定 则 会 成 为 默认 值 ， 后 续 执行 docker run 时 可 以 覆盖 设置 的 默认 值 。 


' -dns=IP_ADDRESShttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... 一 一 使 用 指定 的 DNS 服 务 器 ; 


* ~dns-search=DOMAINhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... 指定 DNS 搜 索 域 。 


最 后 这 些 选 项 只 能 在 docker run 执 行 时 使 用 ， 因 为 它 是 针对 容器 的 特性 内 容 : 


' -h HOSTNAME or--hostname=HOSTNAME 一 一 配置 容器 主机 名 ; 


': -link=CONTAINER_NAME: ALIAS 一 一 添加 到 另 一 个 容器 的 连接 ; 


配置 容器 的 桥接 模式 ; 


* -net=bridge |none |containet: NAME,_or_ID|host|user defined_network 


* -p SPEC or--publish=SPEC 


映射 容器 端口 到 宿主 主机 ; 


* -P or--publish-all=true |false 


映射 容器 所 有 端口 到 宿主 主机 。 


其 中 ，--net 选 项 支持 五 种 模式 ， 如 下 所 示 : 


“ --net=bridge 一 一 默认 配置 。 为 容器 创建 独立 的 网 络 命名 空间 ， 分 配 网 卡 、IP 地 址 等 网 络 配置 ， 并 通过 veth 接 口 对 将 容器 挂 载 到 一 个 虚拟 网 桥 (上 默认 为 docker0) 上 ; 


“ -net=none 


为 容器 创建 独立 的 网 络 命名 空间 ， 但 不 进行 网 络 配 置 ， 即 容器 内 没有 创建 网 卡 、IP 地 址 等 ; 


“ --net=container: NAME_or ID 一 一 意味 着 新 创建 的 容器 共享 指定 的 已 存在 容器 的 网 络 命名 空间 ， 两 个 容器 内 的 网 络 配置 共享 ， 但 其 他 资源 (进程 空间 、 文 件 系统 等 ) 还 是 相互 隔离 的 ; 


意味 着 不 为 容器 创建 独立 的 网 络 命名 空间 ， 容 器 内 看 到 的 网 络 配置 (网 卡 信息 、 路 由 表 、Iptables 规 则 等 ) 均 与 主机 上 保持 一 致 。 注 意 其 他 资源 还 是 与 主机 隔离 的 ; 


* --net=host 


用 户 自行 用 netwo 引 相关 命令 创建 一 个 网 络 ， 同 一 个 网 络 内 的 容器 彼此 可 见 ， 可 以 采用 更 多 类 型 的 网 络 插件 。 


* --net=user_defined_network 


20.2 ”配置 容器 DNS 和 主机 名 


Docker 支 持 自 定义 容器 的 主机 名 和 DNS 配置 。 


1. 相 关 配 置 文件 


实际 上 ， 容 器 中 主机 名 和 DNS 配置 信息 都 是 通过 三 个 系统 配置 文件 来 维护 的 : /etc/resolv.conf、/etc/hostname 和 /etc/hosts。 


启动 一 个 容器 ， 在 容器 中 使 用 mount 命 令 可 以 看 到 这 三 个 文件 挂 载 信息 : 


$ docker run -it ubuntu 
root@75dbd6685305:/# mount 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 
/dev/mapper/ubuntu--vg-root on /etc/resolv.conf type ext4 (rw,relatime,errors= 
remount-ro, data=ordered) 
/dev/mapper/ubuntu--vg-root on /etc/hostname type ext4 (rw,relatime,errors= 
remount-ro, data=ordered) 
/dev/mapper/ubuntu--vg-root on /etc/hosts type ext4 (rw,relatime,errors=remount— 
ro, data=ordered) 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 


其 中 ，/etc/resolv.conf 文 件 在 创建 容器 时 候 ， 默 认 会 与 宿主 机 /etc/resolv.conf 文 件 内 容 保 持 一 致 : 


root@75dbd6685305:/# cat /etc/resolv.conf 

# Dynamic resolv.conf (5) file for glibc resolver(3) generated by resolvconf (8) 
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN 
nameserver 8.8.8.8 

search my-docker-cloud.com 


/etc/hosts 文 件 中 默认 只 记录 了 容器 自身 的 一 些 地 址 和 名 称 : 


root@75dbd6685305:/# cat /etc/hosts 
T2417:0.2 75dbd6685305 

二 localhost ip6-localhost ip6-loopback 
fe00::0 ip6-localnet 

££00::0 ip6-mcastprefix 

凡人 ip6-allnodes 

££02; :2 ip6-allrouters 

127:0.0 :1 localhost 
/etc/hostname 文 件 则 记录 了 容器 的 主机 名 。 
root@75dbd6685305:/# cat /etc/hostname 
75dbd6685305 


2. 容 器 内 修改 配置 文件 


Docker 1.2.0 开 始 支持 在 运行 中 的 容器 里 直接 编辑 /etc/hosts，/etc/hostname 和 /etc/resolve.conf 文 件 。 


但 是 这 些 修改 是 临时 的 ， 只 在 运行 的 容器 中 保留 ， 容 器 终止 或 重启 后 并 不 会 被 保存 下 来 。 也 不 会 被 docker commit 提 交 。 


3. 通 过 参数 指定 


如 果 用 户 想 要 自 定义 容器 的 配置 ， 可 以 在 创建 或 启动 容器 时 利用 下 面 的 参数 指定 : 


. 指定 主机 名 -h HOSTNAME 或 者 --hostname=HOSTNAME。 设 定 容器 的 主机 名 ， 它 会 被 写 到 容器 内 的 /etc/hostname 和 /etc/hosts。 但 这 个 主机 名 只 有 容器 内 能 看 到 ， 在 容器 外 部 则 看 不 到 ， 既 不 会 在 
docker ps 中 显示 ， 也 不 会 在 其 他 的 容器 的 /etc/hosts 看 到 。 


“ 记录 其 他 容器 主机 名 --link=CONTAINER_NAME: ALIAS。 选 项 会 在 创建 容器 的 时 候 ， 添 加 一 个 所 连接 容器 的 主机 名 到 容器 内 /etc/hosts 文 件 中 。 这 样 ， 新 创建 容器 可 以 直接 使 用 主机 名 来 与 所 连接 容 
器 通信 。 


' 指定 DNS 服务 器 --dns=IP_ADDRESS。 添 加 DNS 服务 器 到 容器 的 /etc/tresolv.conf 中 ， 容 器 会 用 指定 的 服务 器 来 解析 所 有 不 在 /etc/hosts 中 的 主机 名 。 


. 指定 DNS 搜索 域 --dns-seatch=DOMAIN。 设 定 容器 的 搜索 域 ， 当 设 定 搜索 域 为 .example.com 时 ， 在 搜索 一 个 名 为 host 的 主机 时 ，DNS 不 仅 搜 索 host， 还 会 搜索 host.example.com。 


20.3 ”容器 访问 控制 


属 


容器 的 访问 控制 主要 通过 Linux 上 的 iptables 防 火 墙 软件 来 进行 管理 和 实现 。iptables 是 Linux 系 统 流行 的 防火 墙 软件 ， 在 大 部 分 发 行 版 中 都 


1. 容 器 访问 外 部 网 络 


从 前 面 的 描述 中 ， 我 们 知道 容器 默认 指定 了 网 关 为 docker0 网 桥 上 的 docker0 内 部 接口 。docker0 内 部 接口 同时 也 是 宿主 机 的 一 个 本 地 接口 。 因 此 ， 容 器 默认 情况 下 是 可 以 访问 到 宿主 机 本 地 的 。 


更 进一步 ， 容 器 要 想 通过 宿主 机 访问 到 外 部 网 络 ， 需 要 宿主 机 进行 转发 。 


蚜 


在 宿主 机 Linux 系 统 中 ， 检 查 转发 是 否 打开 : 


$ sudo sysctl net.ipv4.ip forward 


如 果 为 0， 说 明 没有 开启 转发 ， 则 需要 手动 打开 : 


$ sudo sysct1 -w net.ipv4.ip_forward=1 


更 简单 的 ， 在 启动 Docker 服 务 的 时 候 设 定 --ip-forward=true，Docker 服 务 会 自动 打开 宿主 机 系统 的 转发 服务 。 


2. 容 器 之 间 的 访问 


容器 之 间 相 互 访问 ， 需 要 两 方面 的 支持 : 


“ 网 络 拓扑 是 否 已 经 连通 。 上 默认 情况 下 ， 所 有 容器 都 会 连接 到 docker0 网 桥 上 ， 这 意味 着 默认 情况 下 拓扑 是 互通 的 ; 
“ 本 地 系统 的 防火 墙 软件 iptables 是 否 允 许 访问 通过 。 这 取决 于 防火 墙 的 默认 规则 是 允许 (大 部 分 情况 ) 还 是 禁止 。 


下 面 分 两 种 情况 介绍 容器 之 间 的 访问 。 


(1) 访问 所 有 端口 


当 启 动 Docker 服 务 时 候 ， 默 认 会 添加 一 条 “允许 ”转发 策略 到 iptables 的 FORWARD 链 上 。 通 过 配置 --icc=truelfalse (默认 值 为 true) 参数 可 以 控制 默认 的 策略 。 


为 了 安全 考虑 ， 可 以 在 Docker 配 置 文件 中 配置 DOCKER_OPTS=--icc=false 来 默认 禁止 容器 之 间 的 相互 访问 。 


同时 ， 如 果 启 动 Docker 服 务 时 手动 指定 --iptables=false 参 数 则 不 会 修改 宿主 机 系统 上 的 iptables 规 则 。 


(2) 访问 指定 端口 


在 通过 -icc=false 禁 止 容器 间 相 互 访问 后 ， 仍 可 以 通过 --link=CONTAINER_NAME: ALIAS 选 项 来 允许 访问 指定 容器 的 开放 端口 。 


例如 ， 在 启动 Docker 服 务 时 ， 可 以 同时 使 用 icc=false--iptables=true 参 数 来 配置 容器 间 禁 止 访 问 ， 并 人 允许 Docker 自 动 修改 系统 中 的 iptables 规 则 。 


此 时 ， 系 统 中 的 iptables 规 则 可 能 是 类 似 如 下 规则 ， 禁 止 所 有 转发 流量 : 


$ sudo iptables -nL 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
Chain FORWARD (policy ACCEPT) 

target Prot opt source destination 

DROP all == 0.0.0.070 0.0.0.0/0 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


之 后 ， 启 动容 器 (docker run) 时 使 用 --link=CONTAINER_NAME: ALIAS 选 项 。Docker 会 在 iptable 中 为 两 个 互联 容器 分 别 添加 一 条 ACCEPT 规 则 ， 人 允许 相互 访问 开放 的 端 


的 EXPOSE 行 ) 。 


此 时 ，iptables 的 规则 可 能 是 类 似 如 下 规则 : 


$ sudo iptables -nL 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
Chain FORWARD (policy ACCEPT) 


target prot opt source destination 

ACCEPT tep == 172.17,.0,2 T2103 tcp spt:80 
ACCEPT tep == 172.17:0.3 172.17.0,2 tcp dpt:80 
DROP ll = Db 0.0.0.0/0 


(取决 于 Dockerfile 中 


@ 注 总 


-ink=CONTAINER_NAME: ALIAS 中 的 CONTAINER_NAME 目前 必须 是 Docker 自 动 分 配 的 容器 名 ， 或 使 用 --name 参 数 指定 的 名 字 。 不 能 为 容器 -h 参 数 配 置 的 主机 名 。 


20.4 ”映射 容器 端口 到 宿主 主机 的 实现 


默认 情况 下 ， 容 器 可 以 主动 访问 到 外 部 网 络 的 连接 ， 但 是 外 部 网 络 无 法 访问 到 容器 。 


1. 容 器 访问 外 部 实现 


假设 容器 内 部 的 网 络 地 址 为 172.17.0.2， 本 地 网 络 地址 为 10.0.2.2。 容 器 要 能 访问 外 部 网 络 ， 源 地 址 不 能 为 172.17.0.2， 需 要 进行 源 地 址 映射 (Source NAT，SNAT) ， 修 改 为 本 地 系统 的 IP 地 址 


10.0.2.2。 


映射 是 通过 iptables 的 源 地 址 伪装 操作 实现 的 。 


查看 主机 nat 表 上 POSTROUTIN G 链 的 规则 。 该 链 负责 网 包 要 离开 主机 前 ， 改 写 其 源 地 址 。 

$ sudo iptables -t nat -nvL POSTROUTING 

Chain POSTROUTING (policy ACCEPT 12 packets, 738 bytes) 

pkts bytes target prot opt in out source destination 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 
0 0 MASQUERADE all -- * ldocker0 172.17.0.0/16 0.0.0.0/0 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 


其 中 ， 上 述 规则 将 所 有 源 地 址 在 172.17.0.0/16 网 段 ， 且 不 是 从 docker0 接 口 发 出 的 流量 ( 即 从 容器 中 出 来 的 流量 ) ， 动 态 伪装 为 从 系统 网 卡 发 出 。MASQUERADE 行 动 跟 传统 SNAT 行 动 相 比 ， 好 处 是 
它 能 从 网 卡 动态 获取 地 址 。 


2. 外 部 访问 容器 实现 


容器 允许 外 部 访问 ， 可 以 在 docker run 时 候 通 过 -p 或 -P 参 数 来 启用 。 


不 管用 那 种 办 法 ， 其 实 也 是 在 本 地 的 iptable 的 nat 表 中 添加 相应 的 规则 ， 将 访问 外 部 IP 地 址 的 网 包 进 行 目标 地 址 DNAT， 将 目标 地 址 修改 为 容器 的 |P 地 址 。 


以 一 个 开放 80 端 口 的 Web 容 器 为 例 ， 使 用 -P 时 ， 会 自动 映射 本 地 49000~49900 范 文 内 的 端口 随机 端口 到 容器 的 80 端 口 : 


$ iptables -t nat -nvL 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 
Chain PREROUTING (policy ACCEPT 236 packets, 33317 bytes) 
pkts bytes target prot opt in out source destination 
567 30236 DOCKER ll = 委 和 0.0.0.0/0 所 性 
ADDRTYPE match dst-type LOCAL 
Chain DOCKER (2 references) 
pkts bytes target prot opt in out source destination 
0 0 DNAT tcp -- !docker0 * 0.0.0.0/0 0.0.0.0/0 
tcp dpt:49153 to:172.17.0.2:80 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 


可 以 看 到 ，nat 表 中 涉及 两 条 链 ，PREROUTING 链 负责 包 到 达 网 络 接口 时 ， 改 写 其 目的 地 址 。 其 中 规则 将 所 有 流量 都 扔 到 DOCKER 链 。 而 DOCKER 链 中 将 所 有 不 是 从 docker0 进 来 的 网 包 (意味 着 不 是 
产生 ) ， 将 目标 端口 为 49153 的 ， 修 改 目标 地 址 为 172.17.0.2， 目 标 端口 修改 为 80。 


计 
对 


使 用 -p 80: 80 时 ， 与 上 面 类 似 ， 只 是 本 地 端口 也 为 80: 


$ iptables -t nat -nvL 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
Chain PREROUTING (policy ACCEPT 236 packets, 33317 bytes) 


pkts bytes target Prot opt in out source destination 
567 30236 DOCKER ll == 次 0.0.0.0/0 0.0.0.0/0 
ADDRTYPE match dst-type LOCAL 
Chain DOCKER (2 references) 
pkts bytes target prot opt in out source destination 
0 0 DNAT tcp ~- !docker0 * 0.0.0.0/0 0.0.0.0/0 


tcp dpt:80 to:172.17.0.2:80 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 


有 两 点 需要 注意 : 
“ 这 里 的 规则 映射 了 0.0.0.0， 意 味 着 将 接受 主机 来 自 所 有 网 络 接 口上 的 流量 。 用 户 可 以 通过 -p IP: host_portt: container_port 或 -p IP: : port 来 指定 绑 定 的 外 部 网 络 接口 ， 以 制定 更 严格 的 访问 规则 ; 


: 如 果 和 希望 映射 永久 绑 定 到 菜 个 固定 的 IP 地 址 ， 可 以 在 Docker 配 置 文件 /etc/default/docker 中 指定 DOCKER_OPTS="--ip=IP_ADDRESS"， 之 后 重启 Docket 服 务 即 可 生效 。 


20.5 ”配置 docker0 网 桥 


Docker 服 务 默 认 会 创建 一 个 名 称 为 docker0 的 Linux 网 桥 (其 上 有 一 个 docker0 内 部 接口 ) ， 它 在 内 核 层 连通 了 其 他 的 物理 或 虚拟 网 卡 ， 这 就 将 所 有 容器 和 本 地 主机 都 放 到 同一 个 物理 网 络 。 用 户 使 


Docker 创 建 多 个 自 定义 网 络 时 可 能 会 出 现 多 个 容器 网 桥 。 


Docker 默 认 指 定 了 docker0 接 口 的 IP 地 址 和 子 网 掩 码 ， 让 主机 和 容器 之 间 可 以 通过 网 桥 相互 通信 ， 它 还 给 出 了 MTU (接口 允许 接收 的 最 大 传输 单元 ) ， 通 常 是 1500 字 节 ， 或 宿主 主机 网 络 路 由 上 支持 
的 默认 值 。 这 些 值 都 可 以 在 服务 启动 的 时 候 进行 配置 : 


“ -bip=CIDR 一 一 IP 地 址 加 掩 码 格式 ， 例 如 192.168.1.5/24; 


-mtu=BYTES 一 一 覆盖 默认 的 Docker mtu 配 置 。 


也 可 以 在 配置 文件 中 配置 DOCKER_OPTS， 然 后 重启 服务 。 由 于 目前 Docker 网 桥 是 Linux 网 桥 ， 用 户 可 以 使 用 brctl show 来 查看 网 桥 和 端口 连接 信息 : 


$ sudo brctl show 


bridge name bridge id STP enabled interfaces 
docker0 8000.3ald7362b4ee no veth65f9 
vethdda6 


@ 注 总 


brctl 命 令 如 果 系 统 中 没有 自 带 ， 可 以 使 用 sudo apt-get install bridge-utils 来 安装 (Debian、Ubuntu 系 列 系 统 ) 。 


每 次 创建 一 个 新 容器 的 时 候 ，Docker 从 可 用 的 地 址 段 中 选择 一 个 空闲 的 |P 地 址 分 配给 容器 的 eth0 端 口 。 并 且 使 用 本 地 主机 上 docker0 接 口 的 IP 作 为 容器 的 默认 网 关 : 


$ docker run -i -t --rm base /bin/bash 
$ ip addr show eth0 
24: eth0: <BROADCAST,UP,LOWER UP> mtu 1500 qdisc pfifo fast state UP group 
default qlen 1000 ve 
link/ether 32:6f:e0:35:57:91 brd ff:ff:ff:ff:ff:ff 
inet 172.17.0.3/16 scope global eth0 
valid 1ft forever preferred lft forever 
inet6 fe80::306f:e0ff:fe35:5791/64 scope link 
valid 1ft forever preferred lft forever 
$ ip route 
default via 172.17.42.1 dev eth0 
172.17.0.0/16 dev eth0 proto kernel scope link src 172.17.0.3 
$ exit 


目前 ，Docker 不 支持 在 启动 容器 时 候 指定 IP 地 址 。 
四 济 


实际 上 ，Linux 网 桥 自 身 功 能 已 经 十 分 完备 ， 也 可 以 替换 为 DpenvSwitch 等 功能 更 强大 的 网 桥 实 现 。 


20.6 ” 自 定义 网 桥 


除了 默认 的 docker0 网 桥 ， 用 户 也 可 以 指定 网 桥 来 连接 各 个 容器 。 


在 启动 Docker 服 务 的 时 候 ， 使 用 -b BRIDGE 或 --bridge=BRIDGE 来 指定 使 用 的 网 桥 。 


如 果 服 务 已 经 运行 ， 那 需要 先 停止 服务 ， 并 删除 旧 的 网 桥 : 


$ sudo service docker stop 
$ sudo ip link set dev docker0 down 
$ sudo brctl delbr docker0 


然后 创建 一 个 网 桥 bridge0: 


$ sudo brctl addbr bridge0 
$ sudo ip addr add 192.168.5.1/24 dev bridge0 
$ sudo ip link set dev bridge0 up 


查看 确认 网 桥 创建 并 启动 : 


$ ip addr show bridge0 
4: bridge0: <BROADCAST, MULTICAST> mtu 1500 qdisc noop state UP group default 
link/ether 66:38:d0:0d:76:18 brd ff:ff:ff:ff:ff:ff 
inet 192.168.5.1/24 scope global bridge0 
valid 1ft forever preferred lft forever 


配置 Docker 服 务 ， 默 认 桥 接 到 创建 的 网 桥 上 : 


$ echo 'DOCKER OPTS="-b=bridge0"' >> /etc/default/docker 
$ sudo service docker start 


启动 Docker 服 务 。 新 建 一 个 容器 ， 可 以 看 到 它 已 经 桥接 到 了 bridge0 上 。 


可 以 继续 用 brctl show 命 令 查 看 桥接 的 信息 。 另 外 ， 在 容器 中 可 以 使 用 ip addr 和 ip route 命 令 来 查看 IP 地 址 配置 和 路 由 信息 。 


20.7 ”使 用 OpenvSwitch 网 桥 


Docker 默 认 使 用 的 是 Linux 自 带 的 网 桥 实现 ， 实 际 上 ，OpenvSwitch 项 目 作为 一 个 成 熟 的 虚拟 交换 机 实现 ， 具 备 更 丰富 的 功能 。 笔 者 认为 ， 将 来 会 有 越 来 越 多 的 容器 支持 OpenvSwitch 作 为 底层 网 桥 实 


1. 环 境 
在 Ubuntu 14.04 系 统 中 进行 测试 。 操 作 流程 也 适用 于 RedHat/CentOS 系 列 系统 ， 但 少数 命令 和 配置 文件 可 能 略 有 差异 。 
2. 安 装 Docker 


安装 最 近 版 本 的 Docker 并 启动 服务 。 默 认 情况 下 ，Docker 服 务 会 创建 一 个 名 为 docker0 的 Linux 网 桥 ， 作 为 连接 容器 的 本 地 网 桥 。 


可 以 通过 如 下 命令 查看 : 

$ sudo brct1 show 

bridge name bridge id STP enabled interfaces 
docker0 8000.000000000000 no 


网 桥 docker0 内 部 接口 的 默认 地 址 可 能 为 172.17.42.1。 


$ ifconfig docker0 

docker0 Link encap:Ethernet HWaddr 56:84:7a:fe:97:99 
inet addr:172.17.42.1 Bcast:0.0.0.0 Mask:255.255.0.0 
BROADCAST MULTICAST MIU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


3. 安 装 OpenvSwitch 


通过 如 下 命令 安装 OpenvSwitch: 


$ sudo aptitude install openvswitch-switch 


测试 添加 一 个 网 桥 br0 并 查看 : 


$ sudo ovs-vsctl add-br br0 
$ sudo ovs-vsctl show 
20d0b972-e323-4e3c-9e66-1d8bb57c7ff5 

Bridge ovs-br 

Port ovs-br 
Interface br0 
type: internal 
Ovs_version: "2.0.2" 


4. 配 置 容器 连接 到 OpenvSwitch 网 桥 


目前 OpenvSwitch 网 桥 还 不 能 直接 支持 挂 载 容器 ， 需 要 手动 在 OpenvSwitch 网 桥 上 创建 虚拟 网 口 并 挂 载 到 容器 中 。 


Ny 


(1) 创建 无 网 口 容 器 


启动 一 个 ubuntu 容 器 ， 并 指定 不 创建 网 络 ， 后 面 我 们 手动 添加 网 络 。 较 新 版 本 的 Docker 默 认 不 允许 在 容器 内 修改 网 络 配置 ， 需 要 在 run 的 时 候 指定 参数 --privileged=true: 


回 


$ docker run --net=none --privileged=true -it ubuntu:14.04 bash 
root@298bbb17c244:/# 


记 住 这 里 容器 的 id 为 298bbb17c244。 


此 时 在 容器 内 查看 网 络 信息 ， 只 能 看 到 一 个 本 地 网 卡 lo: 


root@298bbb17c244:/# ifconfig 
1o Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


(2) 手动 为 容器 添加 网 络 


下 载 OpenvSwitch 项 目 提供 的 支持 Docker 容 器 的 辅助 脚本 ovs-docker: 


$ wget https://github.com/openvswitch/ovs/raw/master/utilities/ovs-docker 
$ sudo chmod atx ovs-docker 


为 容器 添加 网 卡 ， 并 挂 载 到 br0 上 ， 命 令 为 : 


$ sudo ./ovs-docker add-port br0 eth0 298bbb17c244 --ipaddress=172.17.0.2/16 


添加 成 功 后， 在 容器 内 查看 网 络 信息 ， 多 了 一 个 新 添加 的 网 卡 eth0， 对 应 添加 的 IP 地 址 : 


root@298bbb17c244:/# ifconfig 

eth0 Link encap:Ethernet HWaddr ae:3d:75:2c:18:ba 
inet addr:172.17.0.2 Bcast:172.17.255.255 Mask:255.255.0.0 
inet6 addr: fe80::ac3d:75ff:fe2c:18ba/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:187 errors:0 dropped:2 overruns:0 frame:0 
TX Packets:11 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:33840 (33.8 KB) TX bytes:1170 (1.1 KB) 

1o Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MIU:65536 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


在 容器 外 ， 配 置 OpenvSwitch 的 网 桥 br0 内 部 接口 地 址 为 172.17.42.2/16 (只 要 与 所 挂 载 容 器 IP 在 同一 个 子 网 内 即 可 ) : 


$ sudo ifconfig br0 172.17.42.2/16 


(3) 测试 连通 


经 过 上 面 步骤 ， 容 器 已 经 连接 到 了 网 桥 br0 上 了 ， 拓 扑 如 下 所 示 : 


容器 (172.17.0.2/16) <-->br0 网 桥 <-->br0 内 部 端口 (172.17.42.2/16) 


此 时 ， 在 容器 内 就 可 以 测试 是 否 连 通 到 网 桥 br0 上 了 : 


root@298bbb17c244:/# ping 172.17.42.2 

PING 172.17.42.2 (172.17.42.2) 56(84) bytes of data. 

64 bytes from 172.17.42.2: icmp seq=1 tt1=64 time=0.874 ms 
64 bytes from 172.17.42.2: icmp seq=2 tt1=64 time=0.079 ms 
人 


mm 一 
2 packets transmitted, 2 received, 0% packet loss, time 1001ms 
rtt min/avg/max/mdev = 0.079/0.476/0.874/0.398 ms 


在 容器 内 也 可 以 配置 默认 网 关 为 br0 接 口 地 址 : 


root@298bbb17c244:/# route add default gw 172.17.42.2 


另外 ， 删 除 该 接口 的 命令 为 : 


$ sudo ./ovs-docker del-port br0 eth0 <CONTAINER ID> 


实际 上 ，Docker 社 区 也 已 经 讨论 对 OpenvSwitch 进 行 原生 支持 了 。 在 Docker 原 生 支 持 OpenvSwitch 之 前 ， 用 户 可 以 通过 编写 脚本 或 更 高 级 的 工具 来 让 这 一 过 程 自动 化 。 


20.8 创建 一 个 点 到 点 连接 


默认 情况 下 ，Docker 会 将 所 有 容器 连接 到 由 docker0 提 供 的 虚拟 子 网 中 。 用 户 有 时 候 需要 两 个 容器 之 间 可 以 直 连 通信 ， 而 不 用 通过 主机 网 桥 进行 桥接 。 


解决 办 法 很 简单 : 创建 一 对 peer 接 口 ， 分 别 放 到 两 个 容器 中 ， 配 置 成 点 到 点 链 路 类 型 即 可 。 下 面 这 个 过 程 我 们 将 手动 执行 Docker 配 置 容器 网 络 的 大 部 分 步骤 。 


首先 启动 两 个 容器 : 


$ docker run -i -t --rm --net=none base /bin/bash 
root@1f1f4c1f931a:/# 
$ docker run -i -t --rm --net=none base /bin/bash 
root@12e343489d2f:/# 


找到 进程 号 ， 然 后 创建 网 络 命名 空间 的 跟踪 文件 : 


$ docker inspect -f '{{.State.Pid}}' 1flf4c1f931a 
2989 

$ docker inspect -f '{{.State.Pid}}"' 
3004 

$ sudo mkdir -p /var/run/netns 

$ sudo ln -s /proc/2989/ns/net /var/run/netns/2989 
$ sudo ln -s /proc/3004/ns/net /var/run/netns/3004 


12e343489d2f 


创建 一 对 peer 接 口 。 


$ sudo ip link add A type veth Peer name B 


添加 IP 地 址 和 路 由 信息 : 


$ sudo ip link set A netns 2989 

$ sudo ip netns exec 2989 ip aqqr add 10.1.1.1/32 dev A 

$ sudo ip netns exec 2989 :ip link set A up 

$ sudo ip netns exec 2989 ip route add 10.1.1.2/32 dev A 
$ sudo ip link set B netns 3004 

$ sudo ip netns exec 3004 ip addr add 10.1.1.2/32 dev B 

$ sudo ip netns exec 3004 ip link set B up 

$ sudo ip netns exec 3004 ip route add 10.1.1.1/32 dev B 


现在 这 两 个 容器 就 可 以 相互 ping 通 ， 并 成 功 建立 连接 。 点 到 点 链 路 不 需要 子 网 和 子 网 掩 码 。 


此 外 ， 也 可 以 不 指定 --net=none 来 创 


利 


20.9 ”本 章 小 结 


类 似 的 办 法 ， 可 以 创建 一 个 只 跟 主机 通信 的 容器 。 但 是 一 般 情况 下 ， 更 推荐 使 


建 点 到 点 链 路 。 这 样 容器 还 可 以 通过 原先 的 网 络 来 通信 。 


本 章 具体 讲解 了 使 


网 络 是 一 个 复杂 的 环境 ， 特 别 在 云 计算 领域 ， 
件 、 硬 件 、 系 统 ， 等 等 。 而 且 往往 要 求 


从 目前 来 看 ，Docker 网 络 所 能 提供 的 功能 还 十 分 简单 ， 并 且 基本 上 都 是 依赖 于 Linux 操 作 系统 上 的 现 有 技术 。 这 在 初期 可 以 让 Docker 不 必 考 虑 太 多 的 网 络 问题 ， 从 而 关注 


Docker 网 络 的 一 些 高 级 部 署 和 操作 配置 ， 包 括 配 


因为 网 络 配 置 造成 的 管理 成 本 ， 以 及 
户 对 于 各 种 技术 的 细节 把 握 十 分 的 精确 。 


启动 参数 、DNS、 容 器 的 访问 控制 管理 等 ， 并 介绍 了 Docker 网 络 相关 的 一 些 工 . 


为 网 络 原 


造成 的 业务 损失 ， 都 占 到 十 分 可 观 的 比例 。 这 是 


--icc=false 来 关闭 容器 之 间 的 通信 。 


和 项 目 。 


因为 网 络 领域 所 涉及 的 学 科 和 技术 门类 众多 ， 包 括 软 


随 着 Docker 应 


部 署 在 各 种 分 布 式 环境 、 特 别 是 云 平台 上 ， 网 络 方面 


的 需求 和 瓶颈 将 会 大 量 涌现 ， 而 


不 少 都 是 新 的 问题 。 


身 的 特点 得 以 快速 发 展 。 但 


如 何 结合 已 有 的 网 络 虚 拟 化 技术 来 解决 Docker 网 络 的 问题 ， 将 是 未 来 一 段 时 间 内 云 计算 领域 值得 持续 探讨 的 重点 技术 话题 。 下 一 章节 里 ， 笔 者 将 介绍 Docker 更 强大 的 插件 化 网 络 方案 : libnetwork。 


第 21 章 ”libnetwork 揪 件 化 网 络 功能 


从 1.7.0 版 本 开始 ，Docker 正 式 把 网 络 跟 存 储 这 两 部 分 的 功能 实现 都 以 插件 化 形式 剥离 出 来 ， 允 许 


尝试 。 


剥离 出 来 的 独立 容器 网 络 项 目 叫 libnetwork， 从 名 字 就 能 看 出 来 ， 它 希望 将 来 为 不 同 容器 定义 统一 规范 的 网 络 层 标准 。 本 章 将 介绍 libnetwork 的 概念 和 使 


21.1 ”容器 网 络 模型 


libnetwork 中 容器 网 络 模型 (Container Networking Model，CNM) 十 分 简洁 ,可 以 让 上 


容器 网 络 模型 的 结构 如 轿 


21-1 所 示 。 


户 通 过 指令 来 选择 不 同 的 后 端 实现 。 这 也 是 Docker 希 望 构建 


网 络 的 大 量 应 


容器 最 大 程度 上 不 去 关心 底层 实现 。 


方法 。 


围绕 着 容器 的 强大 生态 系统 的 一 些 积极 


Sandbox ( 沙 盒 


Endpoint( 接 入 点 ) 


Network (网络) 


图 21-1 容器 网 络 模型 


包括 三 种 基本 元 素 : 
“ Sandbox ( 沙 盒 ) : 代表 一 个 容器 (准确 地 说 ， 是 其 网 络 命名 空间 ) ; 
“ Endpoint ( 接 入 点 ) : 代表 网 络 上 可 以 持 载 容器 的 接口 ， 会 分 配 了 地址; 


“ Network 可 以 连通 多 个 接 入 点 的 一 个 子 网 。 


可 见 ， 对 于 使 用 CNM 的 容器 管理 系统 来 阅 ， 具 体 底下 网 络 如 何 实现 ， 不 同 子 网 彼此 怎么 隔离 ， 有 没有 QoSs， 都 可 以 不 关心 。 只 要 插件 能 提供 网 络 和 接 入 点 ， 只 需 把 容器 给 接 上 或 者 拔 下 ， 剩 下 的 都 是 插 
件 驱 动 自己 去 实现 。 这 样 就 解 蜀 和 容器 和 网 络 功能 ， 十 分 灵活 。 


CNM 的 典型 生命 周期 如 图 21-2 所 示 。 首 先 ， 是 驱动 注册 自己 到 网 络 控制 器 ， 网 络 控制 器 使 用 驱动 类 型 ， 来 创建 网 络 ， 然 后 在 创建 的 网 络 上 创建 接口 ， 最 后 把 容器 连接 到 接口 上 即 可 。 销 毁 过 程 则 正好 相 
反 ， 先 把 容器 从 接 入 口上 卸载 ， 然 后 删除 接 入 口 和 网 络 即 可 。 


驱动 注册 到 NetworkController 


Network NewNetwork () : 创建 网 络 并 绑 定 到 驱动 
Controller 


Delete() : 删除 一 个 网 络 CreateEndpoint () : 创建 接 人 点 


JW 


Leave () : 将 容器 从 接 入 点 印 载 


Delete () ， 从 网 络 中 仓 载 接 人 点 Join(): 将 容器 挂 载 到 接 和 人 点 


21-2 ”容器 网 络 的 生命 周期 


目前 CNM 支 持 的 驱动 类 型 有 四 种 : Null、Bridge、Overlay、Remote。 简 单 介绍 如 下 


“ Null: 不 提供 网 络 服务 ， 容 器 启动 后 无 网 络 连接 ; 
“ Bridge: 就 是 Docker 传 统 上 默认 用 Linux 网 桥 和 Iptables 实 现 的 单机 网 络 ; 
:Overlay: 是 用 vxlan 隧 道 实现 的 跨 主 机 容器 网 络 ; 


“ Remote: 扩展 类 型 ， 预 留 给 其 他 外 部 实现 的 方案 ， 比 如 有 一 套 第 三 方 的 SDN 方 案 (如 OpenStack Neutron) ， 就 可 以 接 进来 。 


从 位 置 上 看 ，libnetwork 上 面 支持 Docker， 下 面 支持 网 络 插件 ， 自 身 处 于 十 分 关键 的 中 间 


目前 ， 已 有 大 量 的 网 络 方案 开始 支持 libnetwork。 包 括 OpenStack Kuryr 项 目 ， 通 过 支持 libnetwork， 让 Docker 可 以 直接 使 
从 而 无 颖 地 支持 Docker 网 络 功能 。 


21.2 Docker 网 络 相关 命令 


Neutron 提 供 的 网 络 功能 。 


在 libnetwork 支 持 下 ，Docker 网 络 相关 命令 都 作为 network 的 子 命令 出 现 。 


“ ls: 列 出 所 有 的 网 络 ; 

“ create: 创建 一 个 网 络 ; 

“tm: 删除 一 个 网 络 ; 

“ connect: 把 容器 接 入 到 网 络 ; 

“ disconnect: 把 容器 从 网 络 印 载 下 来 ; 
“ inspect: 查看 网 络 的 详细 信息 。 


下 面 分 别 介绍 这 些 命令 。 


1. 列 出 网 络 
命令 格式 : docker network ls[OPTIONS] 


支持 参数 包括 : 


* --no-trunc: 不 截断 输出 内 容 。 


围绕 着 管理 CNM 的 生命 周期 ， 主 要 包括 以 下 命令 : 


实际 上 ， 在 不 执行 额外 网 络 命令 的 情况 下 ， 


户 执行 docker network ls 命令 ， 一 般 情况 下 可 以 看 到 已 创建 的 三 个 网 络 : 


层 。 读 者 如 果 熟 悉 计算 机 网 络 协议 模型 的 话 ，libnetwork 就 是 最 核心 的 TCP/IP 


澡 


Calico 等 


团队 也 编写 了 插件 支持 libnetwork， 


$ docker network ls 


NETWORK ID NAME 
461e02c94370 bridge 
e4d5886b2d2f none 
adbc1879bac5 host 


DRIVER 
bridge 
null 
host 


分 别 为 三 种 驱动 的 网 络 : null、host 和 bridge。 


2. 创 建 网 络 


命令 格式 : docker network create[OPTIONS]NETWORK 


支持 参数 包括 : 


“ --aux-address value: 辅助 的 IP 地 址 ; 


* -d，--driver stting: 网 络 驱动 类 型 ， 如 bridge 或 overlay; 


-gateway value: 网 关 地 址 ; 


“ --internal: 禁止 外 部 对 创建 网 络 的 访问 ; 


“ --ip-range value: 分 配 IP 地 址 范围 ; 


' --ipam-driver string: IP 地 址 管理 的 插件 类 型 ; 


“ --ipam-opt value: IP 地 址 管理 插件 的 选项 ; 
“ --ipv6: 支持 IPv6 地 址 ; 

: -label value: 为 网 络 添加 元 标签 信息 ; 

“ -0，--Opt value: 网 络 驱动 支持 的 选项 ; 

: -subnet value: 网 络 地 址 段 。 


3. 删 除 网 络 


删除 指定 的 网 络 。 当 网 络 上 并 不 存在 接 入 点 时 ， 删 除 成 功 。 


命令 格式 : docker network rm NETWORK[NETWORKhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...] 


心 


. 接 入 容器 


将 一 个 容器 连接 到 一 个 已 存在 的 网 络 上 。 


命令 格式 : docker network connect[OPTIONS]NETWORK CONTAINER 


支持 参数 包括 : 
“ --alias value: 为 容器 添加 一 个 别名 ， 此 别名 仅 在 所 添加 网 络 上 可 见 ; 
“ --ip stting: 指定 IP 地 址 ; 
: --ip6 stting: 指定 IPv6 地 址 ; 
“ --link value: 添加 链接 到 另外 一 个 容器 ; 
“ -link-local-ip value: 为 容器 添加 一 个 链接 地 址 。 
5. 御 载 容器 
将 一 个 连接 到 网 络 上 的 容器 从 网 络 上 移 除 。 
命令 格式 : docker network disconnect[OPTIONS]NETWORK CONTAINER 
支持 参数 包括 -f、--force: 强制 把 容器 从 网 络 上 移 除 。 


6. 查 看 网 络 信息 


查看 已 存在 网 络 的 具体 信息 。 


命令 格式 : docker network inspect[OPTIONS]INETWORK[NETWORKhttp://www.hzcourse.com/resource/readBook? 
path=/openresources/teach _ ebook/uncompressed/16033/OEBPS/Text/...] 


支持 参数 包括 -f、--format string: 给 定 一 个 golang 模 板 字符 串 ， 对 输出 结果 进行 格式 化 。 


21.3 ”构建 跨 主机 容器 网 络 


在 这 里 ， 笔 者 将 演示 使 用 libnetwork 自 带 的 Overlay 类 型 驱动 来 轻松 实现 跨 主 机 的 网 络 通信 。Overlay 驱 动 默 认 采 用 VXLAN 协 议 ， 在 IP 地 址 可 以 互相 访问 的 多 个 主机 上 之 间 搭 建 隧道 ， 让 容器 可 以 互相 访 
问 。 


1. 配 置 网 络 信息 管理 数据 库 


我 们 知道 ， 在 现实 世界 中 ， 要 连通 不 同 的 主机 需要 交换 机 或 路 由 器 ( 跨 子 网 时 需要 ) 这 样 的 互联 设备 。 这 些 设备 一 方面 是 在 物理 上 起 到 连接 作用 ， 但 更 重要 的 是 起 到 了 网 络 管理 的 功能 。 例 如 ， 主 机 位 
置 在 什么 地 方 ， 地 址 是 多 少 等 信息 ， 都 需要 网 络 管理 平面 来 维护 。 


在 libnetwork 的 网 络 方案 中 ， 要 实现 跨 主机 容器 网 络 也 需要 类 似 的 一 个 网 络 信息 管理 机 制 ， 只 不 过 这 个 机 制 简单 得 多 ， 只 是 一 个 键 值 数据 库 而 已 , 如 Consul、Etcd、ZooKeeper 等 工具 都 可 以 满足 需求 
如 图 21-3 所 示 。 


Contalner 


Dockel Host #1 


Key-Value DB 


VXLAN Overlay 


21-3” 跨 主机 的 容器 网 络 


以 Consu| 为 例 ， 启 动 一 个 progrium/consul 容 器 ， 并 映射 服务 到 本 地 的 8500 端 口 ， 用 如 下 命令 即 可 : 


Container 


Docker|Host #2 


$ docker run -d \ 
-p "8500:8500" \ 
-h "eonsul" \ 
progrium/consul -server -bootstra 


lad6b71lcfdf83e1925d960b7c13f40294b7d84618828792a84069aea2e52770d 


2. 配 置 Docker 主 机 


启动 两 台 Docker 主 机 n1 和 n2， 分 别 安装 好 最 新 的 Docker-engine(1.7.0+)。 确 保 这 两 台 主 机 之 间 可 以 通过 IP 地 址 互相 访问 ， 另外， 都 能 访问 到 数据 库 节 点 的 8500 端 口 。 


配置 主机 的 Docker 服 务 启动 选项 如 下 所 示 : 


DOCKER OPTS="$DOCKER OPTS --cluster-store=consul://<CONSUL NODE>:8500 --cluster- 


advertise=eth0:2376" 


重新 启动 Docker 服 务 如 下 所 示 : 


$ sudo service docker restart 


3. 创 建 网 络 


分 别 在 n1 和 n2 上 查看 现 有 的 Docker 网 络 ， 包 括 三 个 默认 网 络 : 分 别 为 bridge、host 和 none 类 型 。 


nl1:$ docker network ls 
NETWORK ID NAME DRIVER 
dc581la3eab4c bridge bridge 
ee21a768c6f6 host host 
8dlee747b894 none null 
n2:$ docker network ls 
NETWORK ID NAME DRIVER 
e7f24593bada bridge bridge 
Sbfae3a62214 host host 
4adc19ad9bc7 none null 


在 任意 节点 上 创建 网 络 multi， 例 如 在 n1 上 执行 如 下 命令 即 可 完成 对 跨 主机 网 络 的 创建 : 


nl1:$ docker network create -d overlay multi 


eadd374a18434al4c6171b778600507f300dq330f4622067d3078009a58506c2d 


创建 成 功 后 ， 可 以 同时 在 n1 和 n2 上 查看 到 新 的 网 络 multi 的 信息 : 


nl1:$ docker network ls 
NETWORK ID NAME DRIVER 
dc581a3eab4c bridge bridge 
ee21a768c6f6 host host 
eadd374a1843 multi overlay 
8dlee747b894 none null 
n2:$ docker network ls 
NETWORK ID NAME DRIVER 
e7f24593bada bridge bridge 
Sbfae3a62214 host host 
eadd374a1843 multi overlay 
4adcl9ad9bc7 none null 


此 时 ， 还 可 以 通过 docker network inspect 命 令 查看 网 络 的 具体 信息 : 


$ docker network inspect multi 
[ 
{ 


"Name": "multi", 


"Id": "eadd374al8434al4c6171b778600507£300d330£4622067d3078009a58506c2d", 


"Scope": "global", 


"Driver": "overlay", 
"EnableIPv6": false, 
"IPAM": { 

"Driver": "default", 


"Options" 
"Config"s T 
{ 


{}, 


"Subnet": "10.0.0.0/24", 
"Gateway": "10.0.0.1/24" 


] 
ls 
"Internal": false, 
"Containers": {}, 


"Options": {}, 
"Labels": {} 
} 
] 
4. 测 斌 网络 


在 n1 上 启动 一 个 容器 c1， 通 过 --net 选 项 指定 连接 到 multi 网 络 上 。 查 看 网 络 信息 ， 其 中 一 个 接 [ 


eth0 已 经 连接 到 了 multi 网 络 上 : 


nl:$ docker run -it --name=cl --net=multi busybox 
/#ipa 


1: lo: <LOOPBACK,UP,LOWER UP> mtu 65536 qdisc noqueue 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 


inet 127.0.0.1/8 scope host lo 

valid 1ft forever preferred lft forever 
inet6 ::1/128 scope host 

valid 1ft forever preferred lft forever 


72: eth0: <BROADCAST,MULTICAST, UP, LOWER UP> mtu 1450 qdisc noqueue 


link/ether 02:42:0a:00:00:02 brd ff:ff:ff:ff:ff:ff 


inet 10.0.0.2/24 scope global eth0 
valid 1ft forever preferred 1ft forever 
inet6 fe80::42:aff:fe00:2/64 scope link 
valid 1ft forever preferred 1ft forever 


74: ethl: <BROADCAST, MULTICAST, UP,LOWER UP> mtu 1500 qdisc noqueue 


link/ether 02:42:ac:12:00:02 brd ff:ff:ff:ff:ff:ff 


inet 172.18.0.2/16 scope global ethl 
valid 1ft forever preferred 1ft forever 
inet6 fe80::42:acff:fel2:2/64 scope link 
valid 1ft forever preferred lft forever 


在 n2 上 启动 一 个 容器 c2， 同 样 连接 到 multi 网 络 上 。 


通过 ping c1 进 行 测试 ， 可 以 访问 到 另外 一 台 主 机 n1 上 的 容器 c1: 


n2:$ docker run -it -~-name=c2 --net=multi busybox 
/ # ping cl 

PING cl1 (10.0.0.2) : 56 data bytes 

64 bytes from 10.0.0.2: seq=0 ttl=64 time=0.705 ms 
64 bytes from 10.0.0.2: seq=1l ttl=64 time=0.712 ms 
64 bytes from 10.0.0.2: seq=2 ttl=64 time=0.629 ms 
ee 

mm™ Gl Ping statioticoe ==~ 


3 packets transmitted, 3 packets received, 0% packet lossround-trip min/avg/max = 


0.629/0.682/0.712 ms 


21.4 本章 小 结 


本 章 介绍 了 Docker 新 的 网 络 功 能 和 插件 化 网 络 工具 : libnetwork。 


从 1.7.0 之 前 的 本 地 主机 网 络 ， 到 新 版 本 里 面 强大 的 跨 主机 通信 网 络 能 力 ，Docker 的 功能 已 经 从 单 主机 上 小 规模 服务 场景 ， 拓 展 到 了 大 规模 的 集群 场景 甚至 数 
景 是 十 分 关键 的 一 步 。 


从 位 置 上 看 ，libnetwork 通 过 CNM， 抽象 了 下 层 的 网 络 实现 ， 让 Docker 可 以 无 颖 支持 不 同 的 网 络 技术 ， 从 物理 网 络 到 虚拟 网 络 ， 只 要 支持 CNM， 即 可 被 Docker 所 使 


居中 心 场 


时 


这 对 于 Docker 支 持 容器 云 场 


相 比 传统 场景 ， 容 器 自身 的 动态 性 、 高 密度 都 对 网 络 技术 带 来 了 更 多 新 的 挑战 。Docker 从 1.12.0 开 始 将 Swarm 模 式 也 内 嵌 到 了 引擎 中 ， 以 提供 对 集群 网 络 更 好 的 支持 。 笔 者 相信 ， 是 否 能 够 合理 地 融合 


软件 定义 网 络 技术 ， 将 是 容器 在 大 规模 场景 下 能 否 得 到 有 效 使 


的 关键 。 


开源 项 目 


.第 22 章 Etcd 


高 可 用 的 键 值 数 据 库 
' 第 23 章 ” Docker 三 剑客 之 Docker Machine 
“ 第 24 章 Docker 三 剑客 之 Docker Compose 


"第 25 章 ” Docker 三 剑客 之 Docker Swarm 


优秀 的 集群 资源 调度 平台 


Mesos 


"第 27 章 ”Kubernetes 


生产 级 容器 集群 平台 


“第 28 章 ”其 他 相关 项 目 


开源 技术 之 所 以 受到 越 来 越 多 的 关注 ， 很 重要 的 一 个 原因 是 不 同 项 目 之 间 彼 此 合作 ， 构 建 了 良好 的 生态 系统 。 围 绕 着 容器 技术 ， 多 个 社区 和 公司 都 推出 了 很 多 优秀 的 工具 ， 让 容器 的 使 用 变 得 更 加 简 


单 ， 让 更 多 的 业务 场景 都 能 从 容器 技术 中 获 益 。 


本 部 分 将 介绍 一 些 重点 开源 项 目 ， 共 有 7 章 内 容 。 


第 22 章 将 介绍 CoreOS 公 司 开源 的 高 可 用 分 布 式 键 值 数据 库 Etcd， 该 项 目 已 经 被 广泛 应 用 到 分 布 式 系统 的 一 致 性 实现 和 服务 发 现 中 。 


第 23 到 25 章 将 介绍 Docker 公 司 推出 的 三 剑客 : Machine、Compose 和 Swarm。 这 三 件 利器 的 出 现 ， 让 Docker 不 仅仅 支持 单机 的 虚拟 化 ， 而 且 能 支持 更 广泛 的 集群 平台 ， 提 供 更 强大 灵活 的 功能 。 


第 26 章 将 介绍 Mesos 开 源 项 目 。 作 为 定位 数据 中 心 操 作 系 统 的 内 核 ，Mesos 以 其 简洁 的 设计 、 强 大 的 功能 ， 以 及 灵活 的 插件 支持 机 制 ， 受 到 众多 容器 云 平 台 的 青睐 。 


第 27 章 介绍 的 Kubernetes 项 目 更 是 在 业界 占 鼎 大 名 ， 由 Google 公 司 开源 ， 已 经 成 为 容器 集群 管理 平台 的 事实 标准 。 


最 后 ， 第 28 章 还 介绍 了 众多 的 其 他 项 目 ， 这 些 项 目 在 持续 集成 、 管 理 、 


第 22 章 ”Etcd 一 一 高 可 用 的 键 值 数据 库 


编程 开发 等 功能 上 各 有 特色 ， 为 用 户 带 来 诸多 效率 上 的 提升 。 


Etcd 是 CoreOS 团 队 (同时 发 起 了 CoreoS、Rocket 等 热门 项 


) 发 起 的 一 个 分 布 式 键 值 数据 库 项 


Kubernetes、CloudFoundry 和 CoreOS Fleet 等 。 


， 可 以 


在 这 一 章 里 面 ， 笔 者 将 详细 介绍 该 项 目的 相关 知识 ， 包 括 安装 和 使 用 ， 以 及 集群 管理 等 。 


22.1 简介 


Etcd 是 CoreOS 团 队 于 2013 年 6 月 发 起 的 开源 项 目 ， 它 的 目标 是 构建 一 个 高 可 | 


于 分 布 式 系统 中 的 配置 信息 管理 和 服务 发 现 ， 


的 分 布 式 键 值 (key-value) 数据 库 ， 基 于 Go 语言 实现 。 


前 已 经 被 广泛 应 


到 大 量 开源 项 


中 , 包括 


,etca 


接触 过 分 布 式 系统 的 读者 应 该 知道 ， 分 布 式 系统 中 ， 最 基本 最 


EE: 


重要 的 问题 就 是 各 种 信息 的 一 致 性 ， 包 括 对 服务 的 配置 信息 的 管理 、 服 务 的 发 现 、 更 新 、 同 步 等 等 。 而 要 解决 这 些 问 题 ， 往 往 需 要 基于 一 


套 能 保证 一 致 性 的 分 布 式 数据 库 系 统 ， 比 如 经 典 的 Apache ZooKeeper[1] 项 目 ， 通 过 维护 文件 目录 信息 来 实现 数据 的 一 致 性 。 


Etcd 就 是 专门 为 集群 环境 设计 ， 可 以 很 好 地 实现 数据 一 致 性 ， 提 供 集群 节点 状态 管理 和 服务 自动 发 现 等 。 


Etcd 目 前 在 github.com/coreos/etcd 进 行 维护 ， 已 经 发 布 3.0 系 列 版 本 。 


受到 Apache ZooKeeper 项 目 和 doozer 项 目 [的 启发 ，Etcd 在 进行 设计 的 时 候 


“简单: 支持 REST 风 格 的 HTTP+JSON API; 


" 安全 : 支持 HTTPS 方 式 的 访问 ; 


点 考虑 了 下 面 四 个 要 素 : 


" 快速: 支持 并 发 每 秒 一 千 次 的 写 操 作 ; 


“可靠: 支持 分 布 式 结构 ， 基 于 Raftl 算 法 实现 一 致 性 。 


通常 情况 下 ， 使 用 Etcd 可 以 在 多 个 节点 上 启动 多 个 实例 ， 并 将 它们 添加 为 一 个 集群 。 同 一 个 集群 中 的 Etcd 实 例 将 会 自动 保持 彼此 信息 的 一 致 性 ， 这 意味 着 分 布 在 各 个 节点 上 的 应 用 也 将 获取 到 一 致 
的 信息 。 


[由 Apache ZooKeeper 是 一 套 知名 的 分 布 式 系统 中 进行 同步 和 一 致 性 管理 的 工具 。 
[中 doozer 是 一 个 一 致 性 分 布 式 数据 库 实现 ， 主 要 面向 少量 数据 ， 更 多 信息 可 以 参考 https://github.com/ha/doozerd。 
[BB] ， Raft 是 一 套 通 过 选举 主 节 点 来 实现 分 布 式 系统 一 致 性 的 算法 ， 相 比 于 大 名 刚 问 的 Paxos 算 法 ， 它 的 算法 过 程 相对 容易 理解 ， 由 Stanford 大 学 的 Diego ”Ongaro 和 John ”Ousterhout 提 出 。 更 多 细节 可 以 参考 


https:/ /raftconsensus.github.io。 


22.2 ”安装 和 使 用 Etcd 


Etcd 基 于 Go 语言 实现 ， 因 此 ， 用 户 可 以 从 项 目 主 页 : https://github.com/coreos/etcd 下 载 源 代码 自行 编译 (需要 Go 1.4 以 上 版 本 ) ， 也 可 以 下 载 编译 好 的 二 进 制 文件 ， 甚 至 直接 使 用 制作 好 的 
Docker 镜 像 文 件 来 体验 。 


下 面 分 别 讲解 基于 二 进 制 文件 和 Docker 镜 像 的 两 种 方式 。 
1. 二 进 制 文件 方式 


(1) 下 载 和 安装 


编译 好 的 二 进 制 文件 都 在 github.com/coreos/etcd/releases 页 面 ， 用 户 可 以 选择 需要 的 版 本 ， 或 通过 下 载 工具 下 载 。 


例如 ， 下 面 的 命令 使 用 curl 工 具 下 载 压缩 包 ， 并 解压 : 


$ curl -L https://github.com/coreos/etcd/releases/download/v3.0.4/etcd-v3.0.4- 
linux-amd64.tar.gz -oO etcd-v3.0.4-linux-amd64.tar.gz 

$ tar xzvf etcd-v3.0.4-linux-amd64.tar.gz 

$ cd etcd-v3.0.4-linux-amd64 


解压 后 ， 可 以 看 到 文件 包括 : 


$ 1s 
Documentation etcd etcdctl README-etcdctl.md README .md 


其 中 etcd 是 服务 主 文件 ，etcdctl 是 提供 给 用 户 的 命令 客户 站 ， 其 他 都 是 文档 文件 。 


Oi 
某 些 版 本 中 还 含有 etcd-migrate 二 进 制 文件 ， 可 以 进行 旧版 本 的 迁移 。 


通过 下 面 的 命令 将 二 进 制 文件 都 放 到 系统 可 执行 目录 /usr/local/bin/ 或 /usr/bin/: 


$ sudo cp etcd* /usr/local/bin/ 


安装 就 已 经 完成 了 。 


(2) 使 用 Etcd 


下 面 将 先 以 单 节 点 模式 为 例 讲 解 Etcd 支 持 的 功能 和 操作 。 


查看 etcd 的 版 本 : 


$ ./etcd --version 

Git SHA: d53923c 

Go Version: gol.6.3 

Go OS/Arch: linux/amd64 


直接 执行 Etcd 命 令 ， 将 启动 一 个 实例 监听 在 本 地 的 2379 和 4001 端 口 。 此 时 ， 客 户 端 可 以 通过 本 地 的 2379 和 4001 端 口 访问 Etcd; 其 他 Etcd 本 地 实例 可 以 通过 2380 和 7001 端 口 连接 到 新 启动 实例 。 


显示 类 似 如 下 的 信息 : 


$ etcd 

2016-09-29 16:23:21.071154 

2016-09-29 16:23:21.071260 

2016-09-29 16:23:21.071280 

2016-09-29 16:23:21.509092 
tg 委 妆 

2016-09-29 16:23:21.542046 N | etcdserver: set the initial cluster version to 2.2 

2016-09-29 16:23:21.542226 I etcdserver: published {Name:default ClientURLs: 
[http://localhost:2379 http://localhost:4001]} to cluster 7e27652122e8b2ae 


etcdmain: etcd Version: 3.0.4 

etcdmain: Git SHA: d53923c 

etcdmain: Go Version: gol1.6.3… 

etcdserver: setting up the initial cluster Version 


HHHP 


此 时 ， 可 以 通过 REST API 直 接 查 看 集群 健康 状态 : 


$ curl -L http://127.0.0.1:2379/health 
{"health": "true"} 


当然 ， 也 可 以 使 用 自 带 的 etcdctl 命 令 进行 查看 (实际 上 是 封装 了 REST API 调 用 ) : 


$ etcqct1 cluster-health 
member ce2a822cea30bfca is healthy: got healthy result from http://localhost:2379 
cluster is healthy 


通过 etcdctl 设 置 和 获取 键 值 也 十 分 方便 ， 例 如 设置 键 值 对 testkey: "hello world": 


$ ./etcdctl] set testkey "hello world" 
hello world 

$ ./etcdctl get testkey 

hello world 


说 明 键 值 对 已 经 设置 成 功 了 。 


当然 ， 除 了 etcdctl 命 令 外 ， 也 可 以 直接 通过 HTTP 访 问 本 地 2379 端 口 的 方式 来 进行 操作 ， 例 如 查看 testkey 的 值 : 


curl -L -X PUT http://localhost:2379/v2/keys/testkey -d value="hello world" 

‘action":"set", "node": {"key":"/testkey", "value":"hello world", "modifiedIndex": 
3,"createdIndex":3}} 

curl -L http://localhost:2379/v2/keys/testkey 

"action":"get", "node": {"key":"/testkey", "value":"hello world", "modifiedIndex": 

3,"createdIndex":3}} 


i 


注意 目前 API 版 本 为 v2， 将 来 出 了 新 的 版 本 后 ，API 路 径 中 则 对 应 为 对 应 版 本 号 。 


2.Docker 镜 像 方 式 下 载 


镜像 名 称 为 quay.io/coreos/etcd: v3.0.4， 可 以 通过 下 面 的 命令 启动 etcd 服 务 监 听 到 本 地 的 2379 和 2380 端 口 : 


$ docker run \ 
-p 2379:2379 \ 
-p 2380:2380 \ 
-V /etc/ssl/certs/:/etc/ssl/certs/ 
quay.io/coreos/etcd:v3.0.4 


3 数据 目录 


作为 数据 库 ， 最 重要 的 自然 是 数据 存放 位 置 。 可 以 通过 --data-dir 选 项 来 指定 存放 的 位 置 ， 默 认为 $fname}.etcd， 其 中 $fname} 为 节点 别名 ， 默 认为 default。 


例如 ， 指 定 节点 别名 为 test， 则 默认 数据 存放 目录 则 为 test.etcd: 


$ $ etcd --name "test" 

2016-09-30 10:34:09.883714 
2016-09-30 10:34:09.883802 
2016-09-30 10:34:09.884872 
2016-09-30 10:34:09.884887 
2016-09-30 10:34:09.884901 


etcdmain: etcd Version: 2.2.2 
etcdmain: Git SHA: b4bddf6… 
etcdserver: heartbeat = 100ms 
etcdserver: election = 1000ms 
etcdserver: snapshot count = 10000 


HH HH HH 


查看 数据 目录 下 内 容 。 


$ tree test.etcd 
test .etcd -一 一 member 
Co snap 
| -一 一 0000000000000366-0000000000002711.snap 
-一 一 
l 0000000000000000-0000000000000000.wal 
3 directories, 2 files 


其 中 ，snap 目 录 下 将 定期 记录 节点 的 状态 快照 信息 ，wal 目 录 下 则 记录 数据 库 的 操作 日 志 信息 (可 以 通过 --wal-dir 参 数 来 指定 存放 到 特定 目录 ) 。 


4 .服务 启动 参数 


Etcd 服 务 启 动 的 时 候 支持 一 些 参数 ， 用 户 可 以 通过 这 些 参 数 来 调整 服务 和 集群 的 行为 。 参 数 可 以 通过 环境 变量 形式 传 入 ， 命 名 全 部 为 大 写 ， 并 且 加 ETCD 前 缀 ， 例 如 ETCD_NAME='etcd-cluster 。 主 
要 参数 包括 : 通用 参数 、 集 群 参数 、 安 全 相关 参数 、 代 理 参 数 。 


(1) 通用 参数 


这 些 参数 主要 跟 节 点 自身 配置 相关 ， 参 见 表 22-1。 


表 22-1 Etcd 通 用 参数 


参 数 说 明 


--name 'default' 设置 成 员 的 别名 ， 建 议 为 每 个 成 员 配置 可 识别 的 命名 
--data-dir '$ {name} .etcd' 数据 存储 的 目录 
--wal-dir ' ! 指定 wal (write-ahead-log) 目录 ， 存 有 数据 库 操 作 日 志 
--max-wals 5 最 多 保留 多 少 个 wal 文件 
--snapshot-count '10000' 发 生 多 少 次 提交 就 存储 一 次 snapshot 
--max-snapshots 5 最 多 保留 多 少 个 snapshot 

(2) 集群 参数 


这 些 参数 跟 集群 行为 有 关 ， 参 见 表 22-2。 


表 22-2 ”Etcd 集 群 参数 


参 数 
--heartbeat-interval '100" 


--election-timeout '1000'" 


--listen-peer-urls '‘'http://localhost:2380, 


http://localhost:7001' 
--listen-client-urls '‘'http://localhost:2379, 


http://localhost:4001"' 


--initial-advertise-peer-urls'http://localhost: 


2380, http://localhost:7001' 


--advertise-client-urls 
2379, http://localhost:4001' 


--initial-cluster 
2380,default= http://localhost:7001' 


--initial-cluster-state 'new' 


--initial-cluster-token '‘'etcd-cluster' 


--discovery ' ' 
--debug 'false' 
(3) 安全 相关 参数 


这 些 参数 主要 用 于 指定 通信 时 候 的 TLS 证 书 、 密 钥 配 置 ， 参 见 表 22-3。 
表 22-3 Etcd 安 全 相关 参数 
参 数 

--cert-file '' 
-—-key-file " 
--client-cert-auth 'false' 
--trusted-ca-file ' ' 
--peer-cert-file ' ' 
--peer-key-file ' ' 
--peer-client-cert-auth '‘'false' 


--peer-trusted-ca-file ' ' 


(4) 代理 参数 


这 些 参数 主要 是 当 Etcd 服 务 自身 仅 作为 代理 模式 时 候 使 用 ， 


即 转发 来 自 客户 端的 请 求 到 指定 | 


表 22-4 Etcd 代 理 参 数 


http://localhost: 


'default=http://localhost: 


说 明 
心跳 消息 时 间 间 隔 
(重新 ) 选举 时 间 间 隔 


监听 peer 过 来 的 消息 
监听 来 自 客户 端的 请 求 


广播 到 集群 中 本 成 员 的 peer 4 


广播 到 集群 中 本 成 员 的 监听 客户 端 请 求 的 
地 址 


监听 通信 地 址 


初始 化 集群 配置 


初始 化 集群 状态 为 新 建 ， 也 可 以 指定 为 
existing 表示 要 加 入 一 个 已 有 集群 中 
启动 集群 的 时 候 指 定 集 群 口 令 ， 
token 的 节点 才能 加 入 到 同一 集群 
通过 自动 探测 方式 发 现 集群 成 员 的 地 址 
是 否 开启 调试 信息 


只 有 相同 


说 明 

客户 端 通信 时 TLS 证 书 文件 路 径 
客户 端 通信 时 TLS 密 钥 文件 路 径 
是 否 对 客户 端 启用 证 书 认证 

客户 端 通信 时 信任 的 CA 文件 
对 等 成 员 节点 的 TLS 证 书 文 件 
对 等 成 员 节点 的 TLS 密 钥 文 件 
是 否 启 用 对 等 成 员 节点 客户 端 认 证 
对 等 成 员 节点 的 信任 CA 文件 路 径 


的 Etcd 集 群 。 此 时 ，Etcd 服 务 本 身 并 不 参与 集群 中 去 ， 不 保存 数据 和 参加 选举 。 其 中 的 参数 参见 表 22-4。 


参 数 说 明 
--proxy 'off' 是 否 开 启 代 理 模式 ， 可 以 为 off (默认 值 )、readonly 或 者 on 
--proxy-failure-wait 5000 失败 等 待 时 间 ， 单 位 为 毫秒 
--proxy-refresh-interval 30000 节点 刷新 时 间 间 隔 ， 单 位 为 毫秒 
--proxy-dial-timeout 1000 发 起 连接 的 超时 ， 单 位 为 毫秒 
志 


--proxy-read-timeout 0 读 请 求 的 超时 时 间 ， 单 位 为 毫秒 
--proxy-write-timeout 5000 写 请 求 的 超时 时 间 ， 单 位 为 毫秒 


22.3 ”使 用 etcdctl 客 户 端 


etcdctl 是 Etcd 官 方 提供 的 命令 行 客户 端 ， 它 支持 一 些 基于 HTTP API 封 装 好 的 命令 ， 供 用户 直接 跟 Etcd 服 务 打交道 ， 而 无 需 基 于 HTTP API 的 方式 。 当 然 ， 这 些 命令 跟 HTTP API 实 际 上 是 对 应 的 ， 最 终 效 
果 上 并 无 不 同 之 处 。 


某 些 场景 下 使 用 etcdctl 将 十 分 方便 。 例 如 用 户 需要 对 Etcd 服 务 进行 简单 测试 或 者 手动 来 修改 数据 库 少量 内 容 ; 也 推荐 在 刚 接触 Etcd 时 通过 etcdctl 命 令 来 熟悉 Etcd 支 持 的 相关 功能 。 


Etcd 项 目 二 进 制 发 行 包 中 已 经 包含 了 etcdctl 工 具 ， 没 有 的 话 ， 可 以 从 github.com/coreos/etcd/releases 手 动 下 载 。 


etcdctl 的 命令 格式 为 : 


$ etcdct1 [全 局 选项 ] 命 令 [命令 选项 ] [命令 参数 ] 


全 局 选项 参数 见 表 22-5。 


表 22-5 etcdctl 的 命令 全 局 选项 参数 


参 数 说 明 


--debug 输出 调试 信息 ， 显 示 执 行 命令 的 时 候 发 起 的 请 求 
--no-sync 发 出 请 求 前 不 主动 同步 集群 信息 


--output, -o 'simple' 输出 响应 消息 的 格式 ， 可 以 为 simple ，json 或 extended 
通过 域名 查询 来 探测 集群 成 员 信 息 

集群 中 成 员 地 址 列表 ， 用 逗号 隔 开 
集群 中 成 员 地 址 列表 

如 果 集 群 需要 HTTPS 认证 ， 提 供 TLS 的 证 书 文件 路 径 


认证 的 证 书 文件 路 径 


--discovery-srv, -D 
--peers, -C 
--endpoint 
--cert-file 


--key-file HTTPS 


--ca-file 域名 相关 的 根 证 书 文件 路 径 
--username, -u username[:password] 用 户 名 和 密码 验证 信息 
--timeout '1s' 请 求 的 连接 超时 ， 默 认为 1s 
--total-timeout '5s' 命令 执行 总 超时 ， 默 认为 5s 
--help，-h 显示 帮助 命令 信息 
--version, -V 打印 版 本 信息 


支持 的 命令 大 体 上 分 为 数据 类 操作 和 非 数据 类 操作 两 类 。 


Etcd 作 为 一 个 分 布 式 数据 库 ， 类 似 ZooKeeper 采 用 了 类 似 文件 目录 的 结构 ， 数 据 类 操作 基本 围绕 对 文件 〈 即 某 个 键 ) 或 目录 进行 。 大 家 可 以 对 比 Linux 的 文件 和 目录 操作 命令 ， 
性 。 非 数据 类 操作 主要 是 Etcd 提 供 的 系统 配置 、 权 限 管理 等 。 参 见 表 22-6 和 表 22-7。 


会 发 现 两 者 之 间 的 相似 


数据 类 操作 命令 见 表 22-6， 非 数据 类 操作 见 表 22-7。 


表 22-6 Etcd 数 据 类 操作 命令 


命 令 说 明 
set 设置 某 键 对 应 的 值 
get 获取 某 键 对 应 的 值 
update 更 新 某 键 对 应 的 值 
mk 创建 新 的 键 值 

rm 删除 键 值 或 目录 
watch 监控 某 键 值 的 变化 


exec-watch 


某 键 值 变化 时 执行 指定 命令 


1s 列 出 目录 下 内 容 

mkdir 创建 新 的 目录 

rmdir 删除 空 目录 或 者 一 个 键 值 
setdir 创建 目录 (允许 目录 已 存在 ) 
updatedir 更 新 已 存在 的 目录 


表 22-7 局 


tcd 非 数据 类 操作 命令 


命 ” 令 说 有明 
backup 备份 指定 的 目录 
cluster-health 检查 etcd 集群 健康 状况 
member 添加 、 删 除 或 列 出 成 员 ， 需要 带 有 具体 子 命 令 


import 导入 快照 

user 用 户 添加 、 权 限 管理 ,需要 带 具体 子 命令 
role 角色 添加 、 权 限 管理 ， 需 要 带 具 体 子 命令 
auth 全 局 认证 管理 

help, h 打印 命令 帮助 信息 


下 面 分 别 来 看 下 各 个 操作 的 主要 用 法 和 功能 。 


22.3.1 ”数据 类 操作 


数据 类 操作 围绕 对 键 值 和 目录 的 CRUD (符合 REST 风 格 的 一 套 操作 : Create) 完整 生命 周期 的 管理 。 


Etcd 在 键 的 组 织 上 采用 了 层次 化 的 空间 结构 (类 似 于 文件 系统 中 目录 的 概念 ) ， 用 户 指定 的 键 可 以 为 单独 的 名 字 ， 如 testkey， 此 时 实际 上 放 在 根 目录 /下 面 ， 也 可 以 为 指定 目录 结构 ， 如 
cluster1/node2/testkey， 则 将 创建 相应 的 目录 结构 。 


@is 


CRUDRPCreate、Read、Update、Delete， 是 符合 REST 风 格 的 一 套 API 操 作 规范 。 
1.set 


设置 某 个 键 的 值 为 给 定 值 。 例 如 : 


$ etcdct1 set /testdir/testkey "Hello world" 
Hello world 


支持 的 选项 包括 : 
“ --tt'0'。 键 值 的 超时 时 间 (单位 为 秒 ) ， 不 配置 (默认 为 0) 则 永 不 超时 
“ --swap-with-value value。 著 该 键 现在 的 值 是 value， 则 进行 设置 操作 
“ -swap-with-index'0'。 若 该 键 现在 的 索引 值 是 指定 索引 ， 则 进行 设置 操作 
总 
--ttl 选 项 十 分 有 用 。 在 分 布 式 环境 中 ， 系 统 往往 是 不 可 靠 的 ， 在 基于 Etcd 设 计 分 布 式 锁 的 时 候 ， 可 以 通过 超时 时 间 避 免 出 现 发 生死 锁 的 情况 。 
2.get 


获取 指定 键 的 值 。 例 如 : 


$ etcdctl] set testkey hello 
hello 

$ etcdctl update testkey world 
world 


当 键 不 存在 时 ， 则 会 报错 。 例 如 : 


$ etcqdct1 get testkey2 
Error: 100: Key not found (/testkey2) [1] 


支持 的 选项 为 一 sort， 对 返回 结果 进行 排序 。 
3.update 


当 键 存在 时 ， 更 新 值 内 容 。 例 如 : 


$ etcqct1 set testkey hello 
hello 

$ etcqct1 update testkey world 
world 


当 键 不 存在 时 ， 则 会 报错 。 例 如 : 


$ etcqdct1 update testkey2 world 
Error: 100: Key not found (/testkey2) [1] 


支持 的 选项 为 --tt1'0'， 超 时 时 间 (单位 为 秒 ) ， 不 配置 (默认 为 0) 则 永 不 超时 。 
4.mk 


如 果 给 定 的 键 不 存在 ， 则 创建 一 个 新 的 键 值 。 例 如 : 


$ etcdctl mk /testdir/testkey "Hello world" 
Hello world 


当 键 存在 的 时 候 ， 执 行 该 命令 会 报错 ， 例 如 : 


$ etcdct1 set testkey "Hello world" 

Hello world 

$ ./etcdctl mk testkey "Hello world" 

Error: 105: Key already exists (/testkey) [2] 


支持 的 选项 为 --tt| 0 ， 超 时 时 间 (单位 为 秒 ) ， 不 配置 (默认 为 0) 则 永 不 超时 。 


5.rm 


删除 某 个 键 值 。 例 如 : 


$ etcdctl] rm testkey 


当 键 不 存在 时 ， 则 会 报错 。 例 如 : 


$ etcdct1 rm testkey2 
Error: 100: Key not found (/testkey2) [8] 


支持 的 选项 为 : 


--dir 一 一 如 果 键 是 个 空 目录 或 者 是 键 值 对 则 删除 ; 


--recursive 一 一 删除 目录 和 所 有 子 键 ; 


--with-value 一 一 检查 现 有 的 值 是 否 匹 配 ; 


--wWith-index'0' 一 一 检查 现 有 的 index 是 否 匹配 。 


6.watch 


监测 一 个 键 值 的 变化 ， 一 旦 键 值 发 生 更 新 ， 就 会 输出 最 新 的 值 并 退出 。 


例如 ， 用 户 更 新 testkey 键 值 为 Hello world。 


$ etcdct1 watch testkey 
Hello world 


支持 的 选项 包括 : 


--forever 


直 监 测 ， 直 到 用 户 按 `CTRL+C 退出 ; 


--after-index'0' 一 一 在 指定 index 之 前 一 直 监 测 ; 


--recursive 一 一 返回 所 有 的 键 值 和 子 键 值 。 


7.exec-watch 


例如 ， 一 旦 检测 到 testkey 键 值 被 更 新 ， 则 执行 ls 命令 。 


命令 。 这 


监测 一 个 键 值 的 变化 ， 一 旦 键 值 发 生 更 新 ， 就 执行 给 定 # 


个 


功能 十 分 强大 ， 很 多 时 候 可 以 


于 实时 根据 键 值 更 新 本 地 服务 的 配置 信息 ， 并 和 


新 加 载 服务 。 可 以 实现 分 布 式 应 


配置 的 自动 分 发 。 


$ etcdct1 exec-watch testkey -- sh -c 'ls' 
default.etcd 

Documentation 

etcd 

etcdctl 

etcd-migrate 

README-etcdctl1 .md 

README. .md 


支持 的 选项 包括 : 
--after-index'0' 一 一 在 指定 index 之 前 一 直 监 测 ; 
--recursive 一 一 返回 所 有 的 键 值 和 子 键 值 。 


8.ls 


列 出 目录 (默认 为 根 目录 ) 下 的 键 或 者 子 目 录 ， 默 认 不 显示 子 目录 中 内 容 。 例 如 : 


$ .V/etcdct1 set testkey 'hi' 


hi 
$ ./etcdct1 set dir/test 'hello' 


hello 
$ ./etcdctl ls 
/testkey 
/dir 
$ ./etcdctl ls dir 
/dir/test 
支持 的 选项 包括 : 
“sort 一 一 将 输出 结果 排序 


* --recursive- 如 果 目 录 下 有 子 目录 ， 则 递归 输出 其 中 的 内 容 
“ -Pp 一 一 对 于 输出 为 目录 ， 在 最 后 添加 /` 进 行 区 分 
9.mkdir 


如 果 给 定 的 键 目录 不 存在 ， 则 创建 一 个 新 的 键 目录 。 例 如 : 


$ etcdctl mkdir testdir 


当 键 目录 存在 的 时 候 ， 执 行 该 命令 会 报错 ， 例 如 : 


$ etcdctl mkdir testdir 
$ etcdctl mkdir testdir 
Error: 105: Key already exists (/testdir) [7] 


支持 的 选项 为 --tt' 0 ， 超 时 时 间 (单位 为 秒 ) ， 不 配置 (默认 为 0) 则 永 不 超时 。 
10.rmdir 


删除 一 个 空 目录 ， 或 者 键 值 对 。 若 目录 不 空 ， 会 报错 ， 例 如 : 


$ etcqdct1 set /dir/testkey hi 


hi 
$ etcdctl] rmdir /dir 
Error: 108: Directory not empty (/dir) [13] 


11.setdir 


创建 一 个 键 目 录 ， 无 论 存在 与 否 。 实 际 上 ， 目 前 版 本 当 目 录 已 经 存在 的 时 候 会 报错 。 例 如 : 


$ etcqdct1 setdir /test/test 
$ etcdctl 1s --recursive 
/test 

/test/test 


支持 的 选项 为 --tt'0 ， 超 时 时 间 (单位 为 秒 ) ， 不 配置 (默认 为 0) 则 永 不 超时 。 


12.updatedir 


更 新 一 个 已 经 存在 的 目录 的 属性 (目前 只 有 存活 时 间 ) ， 例 如 : 


$ etcdctl mkdir /test/test --ttl 100 
$ etcqdct1 updatedir /test/test --ttl 200 


支持 的 选项 为 --tth0， 存 活 时 间 (单位 为 秒 ) ， 不 配置 (默认 为 0) 则 永 不 超时 。 


22.3.2 ” 非 数据 类 操作 


非 数 据 类 操作 不 直接 对 数据 本 身 进行 管理 ， 而 是 负责 围绕 集群 自身 的 一 些 配置 。 
1.backup 
备份 Etcd 的 配置 状态 数据 目录 。 
支持 的 选项 包括 : 
“ -data-dit 一 一 要 进行 备份 的 Btcd 的 数据 存放 目录 ; 
“ --backup-dit 一 一 备份 数据 到 指定 路 径 。 


例如 ， 备 份 默认 配置 的 信息 到 当前 路 径 下 的 tmp 子 目录 : 


$ etcdct1 backup --data-dir default.etcd --backup-dir tmp 


可 以 查看 tmp 目 录 下 面 多 了 一 个 member 目 录 : 


$ 1s tmp/member 
snap wal 


其 中 ，snap 为 快照 目录 ， 保 存 节点 状态 快照 文件 (注意 这 些 快 照 文件 定期 生成 ) ; wal 保 存 了 数据 库 预 写 日 志 信息 。 
加 注 章 


预 写 日 志 要 求 数据 库 在 发 生 实际 提交 前 必须 先 将 操作 写 入 日 志 ， 可 以 保障 系统 在 崩溃 后 根据 日 志 回复 状态 。 


2.cluster-health 


查看 Etcd 集 群 的 健康 状态 。 例 如 : 


$ etcdctl cluster-health 
member ce2a822cea30bfca is healthy: got healthy result from http://localhost:2379 
cluster is healthy 


支持 的 选项 包括 --forever， 每 隔 10 秒 钟 检查 一 次 ， 直 到 手动 终止 (通过 Ctrl+C 命 令 ) 。 


3.member 


通过 list、add、remove 等 子 命令 列 出 、 添 加 、 删 除 Etcd 实 例 到 Etcd 集 群 中 。 


例如 本 地 启动 一 个 Etcd 服 务实 例 后 ， 可 以 用 如 下 命令 进行 查看 默认 的 实例 成 员 : 


$ etcdctl member list 
ce2a822cea30bfca: name=default peerURLs=http://localhost:2380,http://localhost: 
7001 clientURLs=http://localhost:2379,http://localhost:4001 


4.import 
导入 | 旧版 本 (v0.4.*) 的 快照 文件 到 系统 。 


支持 的 选项 包括 : 


快照 文件 路 径 ; 


“ -snap- 


* -hidden'--hidden option--hidden option' 隐藏 导入 的 键 值 空间 信息 ; 
“ -c10 一 一 并 发 导入 的 客户 端 数 。 


例如 ， 导 入 通过 backup 命 令 导出 的 快照 文件 : 


$ etcqdct1 import --snap tmp/member/snap/0000000000000003-0000000000061aa8.snap 

starting to import snapshot tmp/member/snap/0000000000000003-0000000000061aa8. 
snap with 10 clients 

entering dir: / 

copying key: /key 1 

finished importing 1 keys 


5.user 


对 用 户 进行 管理 ， 包 括 一 系列 子 命令 : 


“ add 一 一 添加 一 个 用 户 ; 
get 一 一 查询 用 户 细节 ; 

“list 一 一 列 出 所 有 用 户 ; 
:temove 一 一 删除 用 户 ; 

“ grant 一 一 添加 用 户 到 角色 ; 
"tevoke 一 删除 用 户 角色 ; 
passwd 一 一 修改 用 户 的 密码 。 


默认 情况 下 ， 需 要 先 创建 (启用 ) root 用 户 作为 etcd 集 群 的 最 高 权限 管理 员 : 


$ etcdctl user add root 
New password: 


创建 一 个 testuser 用 户 ， 会 提示 输入 密码 : 


$ etcqdct1 user add testuser 
New password: 


分 配 某 些 已 有 角色 给 用 户 : 


$ etcdct1 user grant testuser -roles testrole 


6.role 


对 用 户 角色 进行 管理 ， 包 括 一 系列 子 命令 : 


add 一 一 添加 一 个 角色 ; 


get 一 一 查询 角色 细节 ; 


list 一 一 列 出 所 有 用 户 角色 ; 


remove 一 一 删除 用 户 角色 ; 


grant 一 一 添加 路 径 到 角色 控制 ， 可 以 为 read、write 或 者 readwrite; 


revoke 一 一 删除 某 路 径 的 用 户 角色 信息 。 


默认 带 有 root、guest 两 种 角色 ， 前 者 为 全 局 最 高 权限 ， 后 者 为 不 带 验 证 情况 下 的 用 户 。 


例如 : 


$ etcdct1 role add testrole 
$ etcdct1 role grant testrole -path '/key/*' -read 


7.auth 


是 否 启 用 访问 验证 。enable 为 启用 ，disable 为 禁用 。 


例如 ， 在 root 用 户 创建 后 ， 启 用 认证 : 


$ etcqct1 auth enable 


22.4 ”Etcd 集 群 管理 


Etcd 的 集群 也 采用 了 上 典型 的 “ 主 - 从 ”模型 ， 通 过 Raft 协 议 来 保证 在 一 段 时 间 内 有 一 个 节点 为 主 节点 ， 其 他 节点 为 从 节点 。 一 旦 当主 节点 发 生 故 障 ， 其 他 节点 可 以 自动 再 重新 选举 出 新 的 主 节点 。 


跟 其 他 分 布 式 系统 类 似 ， 集 群 中 节点 个 数 推荐 为 奇数 个 ， 最 少 为 3 个 (此 时 quorum 为 2) ， 越 多 节点 个 数 自然 能 提供 更 多 的 宛 余 性 ， 但 同时 会 带 来 写 数 据 性 能 的 下 降 。 
@ 注 总 


在 分 布 式 系统 中 一 个 很 重要 的 概念 为 quorum， 意 味 着 一 个 集群 正常 工作 需要 能 参加 投票 的 节点 个 数 的 最 小 值 ， 一 般 为 集群 大 小 的 一 半 再 加 一 。 


22.4.1 构建 集群 


构建 集群 无 非 是 让 节点 们 知道 自己 加 入 了 哪个 集群 ， 其 他 对 等 节点 的 访问 信息 是 什么 。 
Etcd 支 持 两 种 模式 来 构建 集群 : 静态 配置 和 动态 探测 。 
1 静态 配置 集群 信息 


顾名思义 ， 静 态 配置 就 是 提取 写 好 集群 中 的 有 关 信息 。 


例如 ， 假 设 我 们 想 要 用 三 个 节点 来 构建 一 个 集群 ， 地 址 分 别 为 : 


节 点 地 址 


Nodel 10.0.0.1 
Node2 10.0.0.2 
Node3 10.0.0.3 


首先 在 各 个 节点 上 将 地 址 和 别名 信息 添加 到 /etc/hosts: 


* 10.0.0.1 Nodel 
* 10.0.0.2 Node2 
* 10.0.0.3 Node3 


可 以 通过 如 下 命令 来 启动 各 个 节点 上 的 etcd 服 务 ， 分 别 命名 为 n1、n2 和 n3。 


$ etcd --name nl \ 
~-initial-cluster-token clusterl \ 
--initial-cluster-state new \ 
--listen-client-urls http://Nodel:2379,http://localhost:2379 \ 
—-listen-peer-urls http://Nodel:2380 \ 
-—-advertise-client-urls http://Nodel:2379 \ 
--initial-advertise-peer-urls http://Nodel:2380 \ 
=--initial-cluster nl=http://Nodel:2380,n2=http://Node2:2380,n3=http://Node3:2380 


节点 2 上 , 执行 : 


$ etcd --name n2 \ 
--initial-cluster-token clusterl \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node2:2379,http://localhost:2379 \ 
-—-listen-peer-urls http://Node2:2380 \ 
--advertise-client-urls http://Node2:2379 \ 
nitial-advertise-peer-urls http://Node2:2380 \ 
--initial-cluster nl=http://Nodel:2380,n2=http://Node2:2380,n3=http://Node3:2380 


节点 3 上 , 执行: 


$ etcd --name n3 \ 
--initial-cluster-token clusterl \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node3:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node3:2380 \ 
--advertise-client-urls http://Node3:2379 \ 
--initial-advertise-peer-urls http://Node3:2380 \ 
--initial-cluster nl=http://Nodel:2380,n2=http://Node2:2380,n3=http://Node3:2380 


成 功 后 ,可 以 在 任 一 节点 上 通过 etcdctl| 来 查看 当前 集群 中 的 成 员 信 息 : 


$ etcdctl] member list 228428dce5a59f3b: name=n3 peerURLs=http://Node3:2380 
clientURLs=http://Node3:2379 

5051932762b33d8e: name=nl peerURLs=http://Nodel:2380 clientURLs=http://Nodel:2379 

8ee612d82821a4e7: name=n2 peerURLs=http://Node2:2380 clientURLs=http://Node2:2379 


2. 动 态 发 现 


静态 配置 的 方法 虽然 简单 ， 但 是 如 果 节 点 信息 需要 变动 的 时 候 ， 就 需要 手动 进行 修改 。 


很 自然 ， 可 以 通过 动态 发 现 的 方法 ， 让 集群 自动 更 新 节点 信息 。 要 实现 动态 发 现 ， 首 先 需要 一 套 支持 动态 发 现 的 服务 。 


CoreOs 提 供 了 一 个 公开 的 Etcd 发 现 服务 ， 地 址 在 https://discovery.etcd.io。 使 用 该 服务 的 步骤 也 十 分 简单 。 


首先 ， 为 要 创建 的 集群 申请 一 个 独一无二 的 uuid， 需 要 提供 的 唯一 参数 为 集群 中 节点 的 个 数 : 


$ curl https://discovery.etcd.io/new?size=3 
https://discovery.etcd.io/7f66dc8d468alc940969a8c329ee329a 


返回 的 地 址 ， 就 是 该 集群 要 实现 动态 发 现 的 独一无二 的 地 址 。 分 别 在 各 个 节点 上 指定 服务 发 现 地 址 信息 ， 蔡 代 掉 原先 动态 指定 的 节点 列表 。 


节点 1 上 ， 执 行 : 


$ etcd --name nl \ 
--initial-cluster-token clusterl \ 
~-initial-cluster-state new \ 
--listen-client-urls http://Nodel:2379,http://localhost:2379 \ 
--listen-peer-urls http://Nodel:2380 \ 
—-advertise-client-urls http://Nodel:2379 \ 
--initial-advertise-peer-urls http://Nodel:2380 \ 
--discovery https://discovery.etcd.io/7f66dc8d468alc940969a8c329ee329a 


节点 2 上 , 执行 : 


$ etcd --name n2 \ 
~-initial-cluster-token clusterl \ 
--initial-cluster-state new 
--listen-client-urls http://Node2:2379,http://localhost:2379 \ 
—-listen-peer-urls http://Node2:2380 \ 
—-advertise-client-urls http://Node2:2379 \ 
--initial-advertise-peer-urls http://Node2:2380 \ 
--discovery https://discovery.etcd.io/7f66dc8d468alc940969a8c329ee329a 


节点 3 上 , 执行 : 


$ etcd --name n3 \ 
--initial-cluster-token clusterl \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node3:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node3:2380 \ 
--advertise-client-urls http://Node3:2379 \ 
--initial-advertise-peer-urls http://Node3:2380 \ 
--discovery https://discovery.etcd.io/7f66dc8d468alc940969a8c329ee329a 


当然 ， 用 户 也 可 以 配置 私有 的 服务 。 


另外 一 种 实现 动态 发 现 的 机 制 是 通过 DNS 域名 ， 即 为 每 个 节点 指定 同一 个 子 域 的 域名 ， 然 后 通过 域名 发 现 来 自动 注册 。 例 如 ， 三 个 节点 的 域名 分 别 为 : 


”nl.mycluster.com 


“ n2.mycluster.com 


“ n3.mycluster.com 


则 启动 参数 中 的 集群 节点 列表 信息 可 以 替换 为 -discovery-srv mycluster.com。 


22.4.2 ”集群 参数 配置 


影响 集群 性 能 的 因素 可 能 有 很 多 ， 包 括 时 间 同 步 、 网 络 拌 动 、 存 储 压力 、 读 写 压力 等 ， 需 要 通过 优化 配置 尽量 减少 这 些 因素 的 影响 。 


1. 时 钟 同 步 


对 于 分 布 式 集群 来 说 ， 各 个 节点 上 的 同步 时 钟 十 分 重要 ，Etcd 集 群 需要 各 个 节点 时 钟 差异 不 超过 1s， 否 则 可 能 会 导致 Raft 协 议 的 异常 。 


因此 ， 各 个 节点 要 启动 同步 时 钟 协议 。 以 Ubuntu 系统 为 例 : 


$ sudo aptitude install ntp 
$ sudo service ntp restart 


也 可 以 修改 /etc/ntp.conf 文 件 ， 来 指定 ntp 服 务 器 地 址 ， 建 议 多 个 节点 采用 统一 的 配置 。 


2. 心 跳 消息 时 间 间 隔 和 选举 时 间 间 隔 


对 于 Etcd 集 群 来 说 ， 有 两 个 因素 十 分 重要 : 心跳 消息 时 间 间 隔 和 选举 时 间 间 隔 。 前 者 意味 着 主 节 点 每 隔 多 久 来 通过 心跳 消息 来 通知 从 节点 自身 的 存活 状态 ;后 者 意味 着 从 节点 多 久 没收 到 心跳 通知 后 可 
以 尝试 发 起 选举 自身 为 主 节点 。 显 然 ， 后 者 要 比 前 者 大 ,一般 建议 设 为 前 者 的 5 倍 以 上 。 时 间 越 短 ， 发 生 故 障 后 恢复 越 快 ， 但 心跳 信息 占用 的 计算 和 网 络 资源 也 越 多 。 


默认 情况 下 ， 心 跳 消 息 间隔 为 100ms。 选 举 时 间 间 隔 为 1s (上 限 为 50s， 但 完全 没 必要 这 么 长 ) 。 这 个 配置 在 本 地 局 域 网 环境 下 是 比较 合适 的 ， 但 是 对 于 跨 网 段 的 情况 ， 需 要 根据 节点 之 间 的 RTT 适 当 进 
行 调 整 。 
可 以 在 启动 服务 时 候 通 过 -heartbeat-interval 和 -election-timeout 参 数 来 指定 。 


例如 ， 一 般 情况 下 ， 跨 数据 中 心 的 集群 可 以 配置 为 : 


$ etcd -heartbeat-interval=200 -election-timeout=2000 


也 可 通过 环境 变量 指定 : 


$ ETCD HEARTBEAT INTERVAI=100 ETCD ELECTION TIMEOUT=500 etcd 


对 于 跨 地 域 的 网 络 (例如 中 美 之 间 的 数据 中 心 RTT 往 往 在 数 百 ms) ， 还 可 以 适当 延长 。 


3.snapshot 频 率 
Etcd 会 定期 地 将 数据 的 修改 存储 为 snapshot， 默 认 情况 下 每 10000 次 修改 才 会 存 一 个 snapshot。 在 存储 的 时 候 会 有 大 量 数据 进行 写 入 ， 影 响 Etcd 的 性 能 。 


建议 将 这 个 值 调整 的 小 一 些 ， 例 如 每 2000 个 修改 就 做 一 次 snapshot。 


$ etcd -snapshot-count=2000 


也 可 通过 环境 变量 指定 : 


ETCD_SNAPSHOT_COUNT=2000 etcd 


4 修改 节点 


无 论 是 添加 、 删 除 还 是 迁移 节点 ， 都 要 一 个 一 个 的 进行 ， 并 且 确 保 先 修改 配置 信息 (包括 节点 广播 的 监听 地 址 、 集 群 中 节点 列表 等 ) ， 然 后 再 进行 操作 。 


例如 要 删除 多 个 节点 ， 当 有 主 节点 要 被 删除 时 ， 需 要 先 删 掉 一 个 ， 等 集群 中 状态 稳定 (新 的 主 节 点 重新 生成 ) 后 ， 再 删除 另外 节点 。 

要 迁移 或 蔡 换 节点 的 时 候 ， 先 将 节点 从 集群 中 删除 掉 ， 等 集群 状态 重新 稳定 后 ， 再 添加 上 新 的 节点 。 当 然 ， 使 用 旧 节 点 的 数据 目录 文件 会 加 快 新 节点 的 同步 过 程 ， 但 是 要 保证 这 些 数据 是 完整 的 ， 且 是 
比较 新 的 。 

5. 节 点 恢复 


Etcd 集 群 中 的 节点 会 通过 数据 目录 来 存放 修改 信息 和 集群 配置 。 


一 般 来 阅 ， 当 某 个 节点 出 现 故 障 时 候 ， 本 地 数据 已 经 过 期 甚至 格式 破坏 。 如 果 只 是 简单 的 重启 进程 ， 容 易 造成 数据 的 不 一 致 。 


这 个 时 候 ， 保 险 的 做 法 是 先 通过 命令 (例如 etcdctl member rm[member]) 来 删除 该 节点 ， 然 后 清空 数据 目录 ， 再 重新 作为 空 节点 加 入 。 


Etcd 提 供 了 -strict-reconfig-check 选 项 ， 确 保 当 集群 状态 不 稳定 时 候 (例如 启动 节点 数 还 不 够 达到 quorum) 拒绝 对 配置 状态 的 修改 。 


6. 重 启 集群 


极端 情况 下 ， 集 群 中 大 部 分 节点 都 出 现 问 题 ， 需 要 重启 整个 集群 。 


这 个 时 候 ， 最 保险 的 办 法 是 找到 一 个 数据 记录 完整 且 比 较 新 的 节点 ， 先 以 它 为 唯一 节点 创建 新 的 集群 ， 然 后 将 其 他 节点 一 个 一 个 地 添加 进来 ， 添 加 过 程 中 注意 保证 集群 的 稳定 性 。 


22.5 ”本 章 小 结 


本 章 我 们 介绍 了 强大 的 分 布 式 键 值 数据 库 实现 Etcd， 包 括 如 何 利用 它 进行 读 写 数 据 等 操作 ， 以 及 Etcd 集 群 管理 的 一 些 要 点 。Etcd 提 供 了 很 多 有 用 的 功能 ， 包 括 数 据 监听 、 定 期 快照 等 。 


践 案例 ， 可 以 看 出 Etcd 的 功能 十 分 类 似 ZooKeeper， 但 作为 后 起 之 秀 ， 它 在 REST 接 口 支 持 、 访 问 权限 管理 、 大 量 数据 存储 方面 表现 更 为 优秀 。 同 时 ， 提 供 了 多 种 语言 (目前 包括 Python、Go、 
现 的 客户 端 支持 。 基 于 Etcd， 用 户 可 以 很 容易 地 实现 集群 中 的 配置 管理 和 服务 发 现 等 复杂 功能 ， 类 似 项 目 还 包括 Consul 等 。 


通过 
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实 | 
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第 23 章 ”Docker 三 剑客 之 Docker Machine 


Docker Machine 是 Docker 官 方 三 剑客 项 目 之 一 ， 负 责 使 用 Docker 的 第 一 步 ， 在 多 种 平台 上 快速 安装 Docker 环 境 。 它 支持 多 种 平台 ， 让 用 户 可 以 在 很 短 时 间 内 搭建 一 套 Docker 主 机 集群 。 


本 章 将 介绍 Docker Machine 项 目的 具体 情况 ， 以 及 安装 和 使 用 命令 。 


23.1 简介 


Machine 项 目 是 Docker 官 方 的 开源 项 目 ， 负 责 实现 对 Docker 主 机 本 身 进行 管理 ， 其 代码 在 https://github.com/docker/machine 上 开源 。 


Machine 项 目 


由 Go 编写 ， 上 


户 可 以 在 本 地 任意 指定 被 Machine 管 理 的 Docker3 


computer，on cloud providers, and inside your own data center.) ”。 


其 基本 功能 包括 : 


机 ， 并 对 其 进行 操作 。Machine 定 位 是 “在 本 地 或 者 云 环境 中 创建 Docker 主 机 (Create Docker hosts on your 


' 在 指定 节点 上 安装 Docker 引 掌 ， 配 置 其 为 Docker 主 机 ; 


' 集中 管理 所 有 Docker 主 机 。 


Machine 连 接 不 同类 型 的 节点 是 通过 不 同 驱动 指定 的 ， 目 前 已 经 支持 了 包括 1BM、Amazon、Google 等 多 家 数据 中 心 的 云 主机 。 


23.2 ”安装 Machine 


Docker Machine 可 以 在 多 种 操作 系统 平台 上 安装 ， 包 括 Linux、Mac OS 以 及 Windows。 


1.Linux 平 台 上 的 安装 


在 Linux 平 台 上 的 安装 十 分 简单 ， 推 荐 从 官方 Release 库 (https://github.com/docker/machine/releases) 直接 下 载 编译 好 的 二 进 制 文件 即 可 。 


例如 ， 在 Linux 64 位 系统 上 直接 下 载 对 应 的 二 进 制 包 ， 以 最 新 的 0.8.0 为 例 。 


$ curl -L https://github.com/docker/machine/releases/download/v0.8.0/docker- 
machine linux-amd64.zip >machine.zip && \ 
unzip machine.zip && \ 
rm machine.zip && \ 
sudo mv -f docker-machine* /usr/local/bin 
$ sudo chmod +x /usr/local/bin/docker-machine* 


查看 实际 上 安装 的 二 进 制 命令 : 


$1s /usr/local/bin/docker-machine* 
/usr/local/bin/docker-machine 
/usr/1local/bin/docker-machine-driver-google 
/usr/1local/bin/docker-machine-driver-virtualbox 
/usr/1local/bin/docker-machine-driver-amazonec2 
/usr/local/bin/docker-machine-driver-hyperv 
/usr/local/bin/docker-machine-driver-vmwarefusion 
/usr/1local/bin/docker-machine-driver-azure 
/usr/local/bin/docker-machine-driver-none 
/usr/local/bin/docker-machine-driver-vmwarevcloudair 
/usr/1local/bin/docker-machine-driver-digitalocean 
/usr/1local/bin/docker-machine-driver-openstack 
/usr/local/bin/docker-machine-driver-vmwarevsphere 
/usr/local/bin/docker-machine-driver-exoscale 
/usr/1local/bin/docker-machine-driver-rackspace 
/usr/1local/bin/docker-machine-driver-generic 
/usr/local/bin/docker-machine-driver-softlayer 


可 以 看 到 ， 主 要 包括 docker-machine 主 命令 ， 和 一 系列 的 驱动 ， 这 些 驱动 支持 Docker Machine 命 令 在 这 些 平台 上 执行 。 


安装 完成 后 ， 查 看 版 本 信息 ， 验 证 运行 正常 : 


$ $docker-machine -v 
docker-machine version 0.8.0 (5ab2ale) 


2.Mac OS 系统 上 的 安装 


Mac OS 平台 上 的 安装 跟 Linux 平 台 十 分 类 似 ， 唯 一 不 同 是 下 载 二 进 制 文件 的 路 径 不 同 。 


例如 ， 同 样 是 0.8.0 版 本 ，Mac OS 平台 对 应 的 路 径 为 https://github.com/docker/machine/releases/download/v0.8.0/docker-machine_darwin-amd64.zip。 


3.Windows 系 统 上 的 安装 


Windows 下 面 要 复杂 一 些 ， 首 先 需 要 安装 git-bash。git-bash 是 Windows 下 的 git 客 户 端 软件 包 ， 会 提供 类 似 Linux 下 的 一 些 基本 工 ， 


安装 之 后 ， 启 动 一 个 git-bash 的 命令 行 界面 ， 仍 然 通 过 下 载 二 进 制 包 方式 安装 Docker Machine: 


， 例 如 bash、curl、ssh 命 令 等 ， 最 新 版 本 为 2.6.3。 


$ if [[ ! -d "$HOME/bin" ]]; then mkdir -p "$HOME/bin"; fi && \ 
curl -L https://github.com/docker/machine/releases/download/v0.8.0/docker- 
machine windows-amd64.zip >machine.zip && \ 
unzip machine.zip && \ 
rm machine.zip && \ 
mv -f docker-machine* "$HOME/bin™ 


23.3 ”使 用 Machine 


Docker Machine 通 过 多 种 后 端 驱动 来 管理 不 同 的 资源 ， 包 括 虚 拟 机 、 本 地 主机 和 云 平台 等 。 
通过 -d 选 项 可 以 选择 支持 的 驱动 类 型 。 
1 虚拟 化 平台 


可 以 通过 virtualbox 驱 动 支持 本 地 (需要 已 安装 virtualbox) 启动 一 个 虚拟 机 并 配置 为 Docker 主 机 : 


$ docker-machine create --driver=virtualbox vbox-instance 


将 启动 一 个 全 新 的 虚拟 机 ， 并 安装 Docker 引 擎 。 
此 外 ， 还 支持 Microsoft Hyper-V 虚 拟 化 平台 。 


2. 本 地 主机 


这 种 驱动 适合 主机 操作 系统 和 SSH 服 务 都 已 经 安装 好 ， 需 要 对 其 安装 Docker 引 警 。 


首先 确保 本 地 主机 可 以 通过 user 账 号 的 key 直 接 通过 ssh 连 到 目标 主机 。 使 用 generic 类 型 的 驱动 ， 注 册 一 台 Docker 主 机 ， 命 名 为 test: 


$ docker-machine create -d generic --generic-ip-address=10.0.100.102 --generic- 


ssh-user=user test 


Running pre-create checkshttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
Creating machinehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
(test) OUT | Importing SSH keyhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


Waiting for machine to be running, this may take a few minuteshttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


Machine is running, waiting for SSH to be availablehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


Detecting operating system of created instancehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


Detecting the provisionerhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
Provisioning created instancehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0OEBPS/Text/... 


从 命令 输出 上 可 以 看 到 ，Machine 通 过 SSH 连 接 到 指定 节点 ， 并 在 上 面 安装 Docker 引 擎 。 


创建 主机 成 功 后 ， 可 以 通过 docker-machine ls 命令 来 查看 注册 到 本 地 管理 列表 中 的 Docker 主 机 : 


$ docker-machine ls 


NAME ACTIVE DRIVER ~ STATE URL SWARM 
test - generic Running tcp://10.0.100.102:2376 

还 可 以 通过 inspect 命 令 查 看 指定 Docker 主 机 的 具体 信息 。 

3. 云 平台 驱动 

以 Amazon Web Services 云 平台 为 例 ， 配 置 其 上 的 虚拟 机 为 Docker 主 机 。 


需要 指定 Access Key ID、Secret Access Key、VPC ID 等 信息 。 例 如 : 


$ docker-machine create --driver amazonec2 --amazonec2-access-key AKI******* 
-~~amazonec2~secret-key 8T93C********* -~amazonec2-vpc-id VPC-****** 


aws_instance 


23.4 Machine 命 令 


每 个 命令 都 带 有 一 系列 参数 ， 可 以 通过 如 下 命令 来 查看 用 ; 


其 他 支持 的 云 平 台 还 包括 Microsoft Azure、Digital Ocean、Exoscale、Google Compute Engine、Rackspace、IBM Softlayer 等 。 


去 : 


docker-machine <COMMAND> -h 


命令 参见 表 23-1。 


命令 
active 

config 

creat 

enV 

inspect 

ip 

kill 

ls 
regenerate-certs 
restart 

rm 

scp 

ssh 

start 


status 


表 23-1 ”Machine 命 令 列 表 


说 明 
查看 当前 激活 状态 的 Docker 主机 
查看 到 激活 Docker 主机 的 连接 信息 
创建 一 个 Docker 主机 
显示 连接 到 某 个 主机 需要 的 环境 变量 
以 json 格式 输出 指定 Docker 主机 的 详细 信息 
获取 指定 的 Docker 主机 地 址 
直接 杀 死 指定 的 Docker 主机 
列 出 所 有 管理 的 主机 
为 某 个 主机 重新 生成 TLS 认证 信息 
重启 指定 Docker 主机 
删除 某 台 Docker 主机 。 对 应 虚 机 会 被 删除 


在 Docker 主机 之 间 以 及 Docker 主机 和 本 地 之 间 通 过 scp 命令 来 远程 复 


通过 SSH 连 到 主机 上 ， 执 行 命令 


启动 一 个 指定 的 Docker 主机 。 如 果 对 象 是 虚拟 机 ， 该 虚拟 机 将 被 启动 
获取 指定 Docker 主 机 的 状态 ， 包 括 Running、Paused、Saved、Stopped、 


Stopping、Starting、Error 等 


stop 
upgrade 
忆 正 业 
help, h 


下 面具 体 介绍 部 分 命令 的 用 法 。 


1.active 


停止 一 个 Docker 主机 

将 指定 主机 的 Docker 版 本 更 新 为 最 新 

获取 指定 Docker 主机 的 监听 URL 
输出 帮助 信息 


制 文件 


格式 为 : docker-machine active[arghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...] 


查看 当前 激活 状态 的 Docker 主 机 。 激 活 状态 意味 着 当前 的 DOCKER_HOST 环 境 变量 指向 该 主机 。 例 如 下 面 命令 列 出 当前 激活 主机 为 dev 主 机 : 


$ docker-machine 1s 


NAME ACTIVE DRIVER STATE URL 
dev virtualbox Running tcp://192.168.56.102:2376 
staging * digitalocean Running tcp://104.236.60.101:2376 


$ echo $DOCKER HOST 
tcp://104.236.60.101:2376 
$ docker-machine active 
staging 


2.config 


格式 为 : docker-machine config[OPTIONS][arghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...] 


查看 到 激活 Docker 主 机 的 连接 信息 。 例 如 下 面 显示 dev 主 机 的 连接 信息 : 

$ docker-machine config dev 

--tlsverify --tlscacert="/home/docker user/.docker/machines/dev/ca.pem" --tlscert=" 
/home/docker user/.docker/machines/dev/cert .pem" --tlskey="/home/docker user 


/.docker/machines/dev/key.pem" -H tcp://192.168.56.102:2376 


3.create 
格式 为 : docker-machine create[OPTIONS][arghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...] 
创建 一 个 Docker 主 机 。 
选项 包括 : 
' --driver，-d"none" 指 定 驱 动 类 型 ; 
' --engine-install-url"https://get.docker.com" 配 置 Dokcer 主 机 时 候 的 安装 URL; 
“engine-opt opbtion 以 键 值 对 格式 指定 所 创建 Docker 引 擎 的 参数 ; 
“ --engine-insecute-tegistty option 以 键 值 对 格式 指定 所 创建 Docker 引 擎 允许 访问 的 不 支持 认证 的 注册 仓库 服务 ; 
“ --engine-tegistty-mirtor option 指 定 使 用 注册 仓库 镜像 ; 
: --engine-label option 为 所 创建 的 Docker 引 擎 添加 标签 ; 
“ --engine-storage-driver 存 储 后 端 驱动 类 型 ; 
“ --engine-env option 指 定 环境 变量 ; 
“ swarm 指定 使 用 Swarm; 
“ -swarm-image"swarm: latest" 使 用 Swarm 时 候 采用 的 镜像 ; 
:--Swarm-master 配 置 机 器 作为 Swarm 集群 的 master 节 点 ; 
“ -Swarm-discovety Swarm 集群 的 服务 发 现 机 制 参数 ; 
“ --swarm-strategy"spread"Swarm 默 认 调 度 策略 ; 
“ --swarm-opt option 任 意 传 递 给 Swarm 的 参数 ; 
“ -swarm-host"tcp://0.0.0.0: 3376" 指 定 地 址 将 监听 Swarm mastet 节 点 请 求 ; 


'--Swarm-addr 从 指定 地 址 发 送 广播 加 入 Swarm 集群 服务 。 


例如 ， 通 过 如 下 命令 可 以 创建 一 个 Docker 主 机 的 虚拟 机 镜像 : 


$ docker-machine create -d Virtualbox \ 
--engine-storage-driver overlay \ 
--engine-label name=testmachine \ 
--engine-label year=2015 \ 
--engine-opt dns=8.8.8.8 \ 
—-engine-env HTTP PROXY=http://proxy.com:3128 \ 
--engine-insecure-registry registry.private.com \ 
mydockermachine 


所 创建 Docker 主 机 虚拟 机 中 的 Docker 引 警 将 具有 如 下 动能 : 
“ 使 用 overlay 类 型 的 存储 驱动 ; 
. 带 有 name=testmachine 和 year=2015 两 个 标签; 
. 引擎 采用 8.8.8.8 作 为 默认 DNS; 
“ 环境 变量 中 指定 HTTP 代 理 服务 http://proxy.com:3128; 
* 允许 使 用 不 带 验 证 的 注册 仓库 服务 registry.private.com。 
4.env 


格式 为 : docker-machine env[OPTIONS][arghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...] 


显示 连接 到 某 个 主机 需要 的 环境 变量 。 


例如 ， 显 示 连 接 到 default 主 机 所 需要 的 环境 变量 : 


$ docker-machine env default 

export DOCKER_ TLS VERIFY="1" 

export DOCKER HOST="tcp://192.168.56.102:2376" 

export DOCKER CERT PATH="/home/docker user/.docker/machine/certs" 
export DOCKER MACHINE NAME="default" 


5.inspect 


格式 为 : docker-machine inspect[OPTIONS][arghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...] 


以 son 格 式 输出 指定 Docker 主 机 的 详细 信息 。 


例如 : 


$ docker-machine inspect default 


{ 


"DriverName": "virtualbox", 
"Driver": { 


"MachineName": "docker-host-128be8d287b2028316c0ad5714b90bcfc11f998056 


£2£f790f7c1f43f3dle6eda", 
"SSHPort": 22, 
"Memory": 1024, 
"DiskSize": 20000, 
"Boot2DockerURL": ™", 
"IPAddress": "192.168.56.102" 
jy 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0OEBPS/Text/... 


6.ip 
获取 指定 Docker 主 机 地 址 。 


例如 : 


$ docker-machine ip default 
192.168.56.102 


7.kill 


直接 杀 死 指定 的 Docker 主 机 。 


指定 Docker 主 机 会 强行 停止。 


8.ls 


列 出 所 有 管理 的 主机 。 


格式 为 : docker-machine Is[OPTIONS][arghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...] 


例如 : 

$ docker-machine ls 

NAME, ACTIVE DRIVER STATE URL 

default -~ virtualbox Stopped 

test0 一 Virtualbox Running tcp://192.168.56.105:2376 
testi ~ Virtualbox Running tcp://192.168.56.106:2376 
test2 * Virtualbox Running tcp://192.168.56.107:2376 


可 以 通过 --filter 来 只 输出 某 些 Docker 主 机 ， 支 持 过 滤器 包括 名 称 正 则 表达 式 、 驱 动 类 型 、Swarm 管 理 节点 名 称 、 状 态 等 。 


例如 : 

$ docker-machine ls --filter state=Stopped 

NAME ACTIVE DRIVER STATE URL SWARM 
default S Virtualbox Stopped 

支持 选项 包括 


“ --quiet，-q 减 少 无 关 输 出 信息 ; 


: --filter[-filter option--filter option] 只 输出 符合 过 滤 条 件 主机 。 


23.5 ”本 章 小 结 


本 章 介 绍 了 Docker 三 件 套 之 一 ，Docker Machine 项 目 。 通 过 介绍 可 以 看 出 ， 当 要 对 多 个 Docker3 


一 的 管理 减少 了 出 错 的 可 能 。 这 是 在 大 规模 集群 和 云 平台 环境 中 所 推荐 的 。 


配合 Compose 和 Swarm， 可 以 实现 完整 的 Docker 环 境 生命 周期 管理 。 


第 24 章 ”Docker 三 剑客 之 Docker Compose 


机 进行 配置 和 管理 时 ， 采 


Docker Machine 将 十 分 方便 快捷 。 不 仅 提高 了 操作 速度 ， 更 通过 批量 统 


编排 (Orchestration) 功能 是 复杂 系统 实现 灵活 可 操作 性 的 关键 。 特 别 是 在 Docker 应 用 场景 中 ， 编 排 意味 着 用 户 可 以 灵活 地 对 各 种 容器 资源 实现 定义 和 管理 。 


作为 Docker 官 方 编排 工具 ，Compose 的 重要 性 不 言 而 喻 ， 它 可 以 让 用 户 通过 编写 一 个 简单 的 模板 文件 ， 快 速 地 创建 和 管理 基于 Docker 容 器 的 应 用 集群 。 


本 章 将 介绍 Compose 项 目的 具体 情况 ， 以 及 如 何 进行 安装 和 使 用 ， 最 后 还 通过 两 个 具体 案例 来 


24.1 简介 


展示 如 何 编写 Compose 模 板 文 件 。 


Compose 项 目 是 Docker 官 方 的 开源 项 目 ， 负 责 实 现 对 Docker 容 器 集群 的 快速 编排 。 从 功能 上 看 ， 跟 OpenStack 中 的 Heat 十 分 类 似 。 其 代码 目前 在 https://github.com/docker/compose 上 开源 。 


Compose 定 位 是 “定义 和 运行 多 个 Docker 容 器 的 应 用 ”， 其 前 身 是 开源 项 目 Fig， 目 前 仍然 兼容 Fig 格 式 的 模板 文件 。 


通过 第 一 部 分 中 的 介绍 ， 我 们 知道 使 用 一 个 Dockerfile 模 板 文件 ， 可 以 让 用 


户 很 方便 地 定义 一 个 单独 的 应 用 


容器 。 然 而 ， 在 


如 要 实现 一 个 Web 项 目 ， 除 了 Web 服 务 容器 本 身 ， 往 往 还 需要 再 加 上 后 端的 数据 库 服务 容器 ， 甚 至 还 包括 负载 均衡 容器 等 。 


常 工作 中 ， 经 常会 碰 到 需要 多 个 容器 相互 配合 来 完成 某 项 任务 的 情况 。 例 


Compose 恰 好 满足 了 这 样 的 需求 。 它 允许 用 户 通过 一 个 单独 的 docker-compose.yml 模 板 文件 (YAML 格 式 ) 来 定义 一 组 相关 联 的 应 用 容器 为 一 个 项 目 (project) 。 


Compose 中 有 两 个 重要 的 概念 : 


了 相同 镜像 的 容器 实例 。 


个 
人 


“ 服务 (setvice) : 一 个 应 用 的 容器 ， 实 际 上 可 以 包括 若干 
“项 目 (project) : 由 一 组 关联 的 应 用 容器 组 成 的 一 个 完整 业务 单元 ， 在 docker-compose.yml 文 件 中 定义 。 


Compose 的 默认 管理 对 象 是 项 目 ， 通 过 子 命令 对 项 目 中 的 一 组 容器 进行 便捷 地 生命 周期 管理 。 


Compose 项 目 由 Python 编写 ， 实 现 上 调用 了 Docker 服 务 提供 的 APl 来 对 容器 进行 管理 。 因 此 ， 只 要 所 操作 的 平台 支持 Docker API， 就 可 以 在 其 上 利用 Compose 来 进行 编排 管理 。 


24.2 ”安装 与 卸载 


Compose 目 前 支持 Linux 和 Mac OS 平台 ， 两 者 的 安装 过 程 大同 小 异 。 


安装 Compose 之 前 ， 要 先 安装 Docker (需要 Docker Engine 1.7.1+) ， 详 细 步 又 请 参考 第 一 部 分 中 的 内 容 。 


Compose 可 以 通过 Python 的 pip 工 具 进 行 安装 ， 可 以 直接 下 载 编译 好 的 二 进 制 文件 使 用 ， 甚 至 直接 运行 在 Docker 容 器 中 。 


前 两 种 方式 是 传统 方式 ， 适 合 本 地 环境 下 安装 使 用 ; 最 后 一 种 方式 则 不 破坏 系统 环境 ， 更 适合 云 计 算 场景 。 


1.pip 安 装 
这 种 方式 是 将 Compose 当 作 一 个 Python 应 用 来 从 pip 源 中 安装 。 


执行 安装 命令 : 


$ sudo pip install -U docker-compose 


可 以 看 到 类 似 如 下 输出 ， 说 明 安 装 成 功 : 


Collecting docker-compose 

Downloading docker-compose-1.8.0.tar.gz (149kB) : 149kB downloaded 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompresseq/16033/OEBPSVText/... 
Successfully installed docker-compose cached-property requests texttable websocket- 

client docker-py dockerpty six enum34 backports.ssl-match-hostname ipaddress 


安装 成 功 后 ， 可 以 查看 docker-compose 命 令 的 用 法 : 


$ docker-compose -h 
Define and run multi-container applications with Docker. 
Usage: 
CS [-f=<arg>http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/O0EBPS/Text/...] [options] [COMMAND] [ARGShttp://www.hzc 
docker-compose -h|--help 
Options: 
-f, ~-file FILE Specify an alternate compose file (default: 
docker-compose.yml) 
-p, --project-name NAME Specify an alternate project name (default: 
directory name) 
--x-networking (EXPERIMENTAL) Use new Docker networking 
functionality. 
Requires Docker 1.9 or later. 
—-x-network-driver DRIVER (EXPERIMENTAL) Specify a network driver (default: 


"bridge"). 

Requires Docker 1.9 or later. 
—-verbose Show more output 
-v, --version Print version and exit 

Commands: 

build Build or rebuild services 
help Get help on a command 
jl Kill containers 
logs View output from containers 
pause Pause services 
port Print the public port for a port binding 
ps List containers 
pull Pulls service images 
restart Restart services 
rm Remove stopped containers 
run Run a one-off command 
scale Set number of containers for a service 
start Start services 
stop Stop services 
unpause Unpause services 
up Create and start containers 
migrate-to-labels Recreate containers to add labels 
version Show the Docker-Compose version information 


之 后 ， 可 以 添加 bash 补 全 命令 : 


$ curl -L https://raw.githubusercontent .com/docker/compose/1.8.0/contrib/completion 
/bash/docker-compose > /etc/bash completion.d/docker-compose 


2. 二 进 制 包 


官方 定义 编译 好 二 进 制 包 ， 供 大 家 使 用 。 这 些 发 布 的 二 进 制 包 可 以 在 https://github.com/docker/compose/releases 页 面 找 到 。 


这 些 二 进 制 文 件 ， 下 载 后 直接 放 到 执行 路 径 下 ， 并 添加 执行 权限 即 可 。 例 如 ， 在 Linux 平 台 上 : 


$ sudo curl -L https://github.com/docker/compose/releases/download/1.8.0/docker- 
compose- ‘uname -s’-‘uname -m ”> /usr/local/bin/docker-compose 
$ sudo chmod atx /usr/local/bin/docker-compose 


可 以 使 用 docker-compose version 命 令 来 查看 版 本 信息 ， 以 测试 是 否 安装 成 功 : 


$ docker-compose version 

docker-compose version 1.8.0, build 94f7016 
docker-py version: 1.9.0 

CPython version: 2.7.6 

OpenSSL version: OpenSSL 1.0.1f 6 Jan 2014 


3. 容 器 中 执行 


Compose 既 然 是 一 个 Python 应 用 ， 自 然 也 可 以 直接 用 容器 来 执行 它 : 


$ curl -L https://github.com/docker/compose/releases/download/1.8.0/run.sh > 
/usr/1local/bin/docker-compose 
$ chmod +x /usr/local/bin/docker-compose 


实际 上 ， 查 看 下 载 的 run.sh 脚 本 内 容 ， 如 下 所 示 : 


Set. =& 

VERSION="1.8.0" 
IMAGE="docker/compose:SVERSION" 

# Setup options for connecting to docker host 
if -Zz "$DOCKER HOST" ]; then 

DOCKER HOST="/var/run/docker.sock" 


下 
让 -S "$DOCKER HOST" ]; then 
DOCKER ADDR="~v $DOCKER HOST:$DOCKER HOST -~e DOCKER HOST" 
else 
DOCKPR_ADDR="-e DOCKER HOST -~e DOCKER TLS VERIFY -e DOCKER CERT PATH™" 
# Setup volume mounts for compose config and context 
if [ "$ (pwd)" != '/' ]; then 
VOLUMES="-v $ (pwd) :$ (pwd)" 
在 3 


if -nNn "$COMPOSE FILE" ]; then 

compose dir=$ (dirname $COMPOSE FILE) 

fi 

# TODO: also check --file argument 

if [ -n "$compose dir" ]; then 

VOLUMES="$VOLUMES -v $compose dir:$compose dir™ 

fi 

> -n "$HOME" ]; then 

VOLUMES="$VOLUMES -V $HOME:S$HOME -~v $HOME:/root" # mount $HOME in /root to 
share docker.config 

过 二 

# Only allocate tty if we detect one 

生 半 = 七 二 7 七 nen 

DOCKER_RUN_OPTIONS="-t" 


bh 沁 -t 0 ]7 then 
DOCKER RUN OPTIONS="$DOCKER RUN OPTIONS -im 

起 

exec docker run --rm $DOCKER RUN OPTIONS $DOCKER ADDR $COMPOSE OPTIONS $VOLUMES 
-WwW "S$ (pwd)" $IMAGE "$@" 


可 以 看 到 ， 它 其 实 是 下 载 了 docker/compose 镜 像 并 运行 。 
4. 凶 载 


如 果 是 二 进 制 包 方式 安装 的 ， 删 除 二 进 制 文件 即 可 : 


$ sudo rm /usr/local/bin/docker-compose 


如 果 是 通过 Python pip 工 具 安 装 的 ， 则 可 以 执行 如 下 命令 删除 : 


$ sudo pip uninstall docker-compose 


24.3 ”Compose 命 令 说 明 


对 于 Compose 来 说 ， 大 部 分 命令 的 对 象 既 可 以 是 项 目 本身 ， 也 可 以 指定 为 项 目 中 的 服务 或 者 容器 。 如 果 没 有 特别 说 明 ， 命 令 对 象 将 是 项 目 ， 这 意味 着 项 目 中 所 有 的 服务 都 会 受到 命令 影响 。 


执行 docker-compose[COMMAND]--help 或 者 docker-compose help[COMMAND] 可 以 查看 具体 某 个 命令 的 使 用 格式 。Compose 命 令 的 基本 的 使 用 格式 是 : 


docker-compose [-f=<arg>http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/...] [options] [COMMAND] [ARGShttp://www.hzcours 


命令 选项 如 下 : 
“ -f，--file FILE 指 定 使 用 的 Compose 模 板 文件 ， 默 认为 docker-compose.yml， 可 以 多 次 指定 。 
. -p，--project-name NAME 指 定 项 目 名 称 ， 默 认 将 使 用 所 在 目录 名 称 作为 项 目 名 。 
“ -xnetwotking 使 用 Docker 的 可 技 插 网 络 后 端 特性 〈 需 要 Docker1.9 及 以 后 版 本 ) 。 
: --x-network-driver DRIVER 指 定 网 络 后 端的 驱动 ， 黑 认为 bridge (需要 Docker1.9 及 以 后 版 本 ) 。 
“ --vetbose 输 出 更 多 调试 信息 。 
. -V，--vetsion 打 印 版 本 并 退出 。 
命令 列表 见 表 24-1。 


表 24-1 Compose 命 令 


build 构建 项 目 中 的 服务 容 需 
help 获得 一 个 命令 的 帮助 
kill 通过 发 送 SIGKILL 信和 号 来 强制 停止 服务 容器 
logs 查看 服务 容器 的 输出 
Pause 暂停 一 个 服务 容 需 
( 续 ) 
命 令 说 明 
port 打印 某 个 容器 端口 所 映射 的 公共 端口 
ps 列 出 项 目 中 目前 的 所 有 容器 
pull 拉 取 服务 依赖 的 镜像 
restart 重启 项 目 中 的 服务 
rm 删除 所 有 (停止 状态 的 ) 服务 容 需 
run 在 指定 服务 上 执行 一 个 命令 
scale 设置 指定 服务 运行 的 容器 个 数 
start 启动 已 经 存在 的 服务 容器 
stop 停止 已 经 处 于 运行 状态 的 容 需 ， 但 不 删除 它 
unpause 恢复 处 于 暂停 状态 中 的 服务 
UP 自动 完成 包括 构建 镜像 、 创 建 服务 、 启 动 服务 并 关联 服务 相关 容器 的 一 系列 操作 
migrate-to-labels 重新 创建 容 需 ， 并 添加 label 
version 打印 版 本 信息 


命令 使 用 说 明 如 下 。 


1.build 
格式 为 docker-compose build[options][SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...]。 


构建 (重新 构建 ) 项 目 中 的 服务 容器 。 


服务 容器 一 旦 构建 后 ， 将 会 带 上 一 个 标记 名 ， 例 如 对 于 web 项 目 中 的 一 个 db 容器 ， 可 能 是 web_db。 可 以 随时 在 项 目 目录 下 运行 docker-compose build 来 重新 构建 服务 。 


选项 包括 : 
“ --force-rm 删 除 构建 过 程 中 的 临时 容器 。 
“ --no-cache 构 建 镜像 过 程 中 不 使 用 缓存 (这 将 加 长 构建 过 程 ) 。 


“ -pull 始 终 尝 试 通过 拉 取 操作 来 获取 更 新 版 本 的 镜像 。 


2.help 
获得 一 个 命令 的 帮助 。 
3.kill 


格式 为 docker-compose killloptions][SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...]。 
通过 发 送 SIGKILL 信 号 来 强制 停止 服务 容器 。 


支持 通过 -s 参 数 来 指定 发 送 的 信号 ， 例 如 通过 如 下 指令 发 送 SIGINT 信 和 号: 


$ docker-compose kill -s SIGINT 


4.logs 


格式 为 docker-compose logs[options][SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...]。 
9 由 p 


查看 服务 容器 的 输出 。 默 认 情 况 下 ，docker-compose 将 对 不 同 的 服务 输出 使 用 不 同 的 颜色 来 区 分 。 可 以 通过 --no-color 来 关闭 颜色 。 该 命令 在 调试 问题 的 时 候 十 分 有 用 。 
5.pause 
格式 为 docker-compose pause[SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/...]。 


暂停 一 个 服务 容器 。 


6.port 
格式 为 docker-compose port[options]SERVICE PRIVATE_PORT。 


显示 某 个 容器 端口 所 映射 的 公共 端口 。 


选项 : 
: --protocol=proto 指 定 端口 协议 ，TCP (默认 值 ) 或 者 UDP。 
“ --index=index 如 果 同 一 服务 存在 多 个 容器 ， 指 定 命令 对 象 容器 的 序号 (默认 为 1) 。 
7.ps 
格式 为 docker-compose ps[options][SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/...]。 
列 出 项 目 中 目前 的 所 有 容器 。 
选项 : -q 只 打印 容器 的 ID 信息 。 
8.pull 
格式 为 docker-compose pullloptions][SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...]。 
拉 取 服务 依赖 的 镜像 。 
选项 : --ignore-pull-failures 忽 略 拉 取 镜 像 过 程 中 的 错误 。 
9.restart 


格式 为 docker-compose restart[options][SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach _ ebook/uncompressed/16033/OEBPS/Text/... 
p 一 p 


重启 项 目 中 的 服务 。 


选项 为 -t+，--timeout TIMEOUT， 指 定 重启 前 停止 容器 的 超时 (默认 为 10 秒 ) 。 


10.rm 
格式 为 docker-compose rm[options][SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...]。 
删除 所 有 (停止 状态 的 ) 服务 容器 。 推 荐 先 执行 docker-compose stop 命 令 来 停止 容器 。 
选项 如 下 : 
“ -f，--force 强 制 直接 删除 ， 包 括 非 停止 状态 的 容器 。 一 般 尽量 不 要 使 用 该 选项 。 
“ -Vv 删除 容器 所 挂 载 的 数据 卷 。 
11.run 


格式 为 docker-compose run[options][-p PORThttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...][-e 
KEY=VALhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...]JSERVICE[COMMAND] 
[ARGShttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...]。 


在 指定 服务 上 执行 一 个 命令 。 


例如 : 


$ docker-compose run ubuntu ping docker.com 


将 会 启动 一 个 ubuntu 服 务 容器 ， 并 执行 ping docker.com 命 令 。 


默认 情况 下 ， 如 果 存 在 关联 ， 则 所 有 关联 的 服务 将 会 自动 被 启动 ， 除 非 这 些 服务 已 经 在 运行 中 。 该 命令 类 似 于 启动 容器 后 运行 指定 的 命令 ， 相 关 卷 、 链 接 等 都 将 会 按照 配置 自动 创建 。 有 两 个 不 同 点 : 


“ 不 会 自动 创建 端口 ， 以 避免 冲突 。 


如 果 不 希 望 自动 启动 关联 的 容器 ， 可 以 使 用 --no-deps 选 项 ， 例 如 : 


$ docker-compose run --no-deps web python manage.py shell 


将 不 会 启动 Web 容 器 所 关联 的 其 他 容器 。 


选项 : 


“ --name NAME 为 容器 指定 一 个 名 字 。 
“ --entrypoint CMD 和 覆盖 默认 的 容器 启动 指令 。 
“ -e KEY=VAL 设 置 环 境 变 量 值 ， 可 多 次 使 用 选项 来 设置 多 个 环境 变量 。 


“ -u，--user="" 指 定 运 行 容器 的 用 户 名 或 者 tid。 


“ --no-deps 不 自动 启动 关联 的 服务 容器 。 
“ -tm 运行 命令 后 自动 删除 容器 ，d 模 式 下 将 忽略 。 
“ -Pp，--publish=[ 映 射 容器 端口 到 本 地 主机 。 
“ -service-ports 配 置 服务 端口 并 映射 到 本 地 主机 。 
“ -TT 不 分 配 伪 tty， 意 味 着 依赖 tty 的 指令 将 无 法 运行 。 
12.scale 
格式 为 docker-compose scale[options][SERVICE=NUMhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...]。 
设置 指定 服务 运行 的 容器 个 数 。 
通过 service=num 的 参数 来 设置 数量 。 例 如 : 


$ docker-compose scale web=3 db=2 


将 启动 3 个 容器 运行 web 服 务 ，2 个 容器 运行 db 服务 。 一 般 情况 下 ， 当 指定 数目 多 于 该 服务 当前 实际 运行 容器 ， 将 新 创建 并 启动 容器 ; 反之， 将 停止 容器 。 


选项 为 -t+，--timeout TIMEOUT， 停 止 容器 时 候 的 超时 (默认 为 10 秒 ) 。 

13.start 

格式 为 docker-compose start[SERVICEhttp://www.hzcourse.comy/resource/readBook?path=/openresourceSsteach_ebook/uncompressed/16033/OEBPSVText/…]。 

启动 已 经 存在 的 服务 容器 。 

14.stop 

格式 为 docker-compose stop[options][SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/...]。 


停止 已 经 处 于 运行 状态 的 容器 ， 但 不 删除 它 。 通 过 docker-compose start 可 以 再 次 启动 这 些 容器 。 


选项 为 -t，--timeout TIMEOUT， 停 止 容器 时 候 的 超时 (默认 为 10 秒 ) 。 

15.unpause 

格式 为 docker-compose unpause[lSERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/16033/OEBPS/Text/...]。 
恢复 处 于 暂停 状态 中 的 服务 。 

16.up 


格式 为 docker-compose up[loptions][SERVICEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...]。 
a p 


该 命令 十 分 强大 ， 它 将 尝试 自动 完成 包括 构建 镜像 ， (重新 ) 创建 服务 ， 启 动 服务 ， 并 关联 服务 相关 容器 的 一 系列 操作 。 链 接 的 服务 都 将 会 被 自动 启动 ， 除 非 已 经 处 于 运行 状态 。 


可 以 说 ， 大 部 分 时 候 都 可 以 直接 通过 该 命令 来 启动 一 个 项 目 。 上 默认 情况 ，docker-compose up 启动 的 容器 都 在 前 台 ， 控 制 台 将 会 同时 打印 所 有 容器 的 输出 信息 ， 可 以 很 方便 进行 调试 。 当 通过 Ctrl-C 停 
止 命令 时 ， 所 有 容器 将 会 停止 。 如 果 使 用 docker-compose up-d， 将 会 在 后 台 启 动 并 运行 所 有 的 容器 。 一 般 推荐 生产 环境 下 使 用 该 选项 。 默 认 情况 ， 如 果 服 务 容器 已 经 存在 ，docker-compose up 将 会 尝 
试 停止 容器 ， 然 后 重新 创建 (保持 使 用 volumes-from 挂 载 的 卷 ) ， 以 保证 新 启动 的 服务 匹配 docker-compose.yml 文 件 的 最 新 内 容 。 如 果 用 户 不 希望 容器 被 停止 并 重新 创建 ， 可 以 使 用 docker-compose 
up--no-recreate。 这 样 将 只 会 启动 处 于 停止 状态 的 容器 ， 而 忽略 已 经 运行 的 服务 。 如 果 用 户 只 想 重新 部 署 某 个 服务 ， 可 以 使 用 docker-compose up--no-deps-d<SERVICE_NAME> 来 重新 创建 服务 并 后 
台 停 止 旧 服务 ， 启 动 新 服务 ， 并 不 会 影响 到 其 所 依赖 的 服务 。 


E 


选项 : 

“ -d 在 后 台 运行 服务 容器 。 

“ --no-color 不 使 用 颜色 来 区 分 不 同 的 服务 的 控制 台 输出 。 

 --no-deps 不 启动 服务 所 链接 的 容器 。 

“ --force-recreate 强 制 重新 创建 容器 ， 不 能 与 --no-recreate 同 时 使 用 。 

“ --no-tecreate 如 果 容 器 已 经 存在 了 ， 则 不 重新 创建 ， 不 能 与 --force-recreate 同 时 使 用 。 
“ --no-build 不 自动 构建 缺失 的 服务 镜像 。 

“ -t，--timeout TIMEOUT 停 止 容器 时 候 的 超时 (默认 为 10 秒 ) 。 
17.migrate-to-labels 


格式 为 docker-compose migrate-to-labels。 


重新 创建 容器 ， 并 添加 label。 主 要 用 于 升级 1.2 及 更 早 版 本 中 创建 的 容器 ， 添 加 缺失 的 容器 标签 。 


实际 上 ， 最 彻底 的 办 法 当然 是 删除 项 目 ， 然 后 重新 创建 。 


18.version 
格式 为 docker-compose version。 


打印 版 本 信息 。 


24.4 ”Compose 环 境 变 量 


环境 变量 可 以 用 来 配置 Compose 的 行为 ， 参 见 表 24-2。 以 DOCKER 开头 的 变量 和 用 来 配置 Docker 命 令 行 客户 端的 使 用 一 样 。 如 果 使 用 boot2docker，$(boot2docker shellinit) 将 会 设置 它们 为 正确 
的 值 。 


表 24-2 ”Compose 环 境 变 量 


量 说 有 阴 

设置 Compose 的 项 目 名 称 ， 默 认 是 当前 工作 目录 (docker-compose.yml 文 
件 所 在 目录 ) 的 名 字 

Compose 会 为 每 一 个 启动 的 容器 前 添加 的 项 目 名 称 。 例 如 一 个 名 称 为 proj 
的 项 目 ， 其 中 的 一 个 web 容 需 ， 名 称 可 能 为 proj web 1 

设置 要 使 用 的 docker-compose.yml 的 路 径 。 如 果 不 指定 ， 默 认 会 先 查找 当 


bal 


COMPOSE PROJECT NAME 


COMPOSE FILE 前 工作 目录 下 是 否 存在 docker-compose.yml 文件 ， 如 果 还 找 不 到 ， 则 继续 查 
找 上 层 目录 


某 些 情况 下 ，Compose 发 出 的 Docker 请 求 的 版 本 可 能 Docker 服务 端 并 不 
支持 ， 可 以 通过 指定 API 版 本 来 临时 解决 这 一 问题 

在 生产 环境 中 不 推荐 使 用 这 一 临时 方案 ， 要 通过 适当 的 升级 来 保证 客户 端 
和 服务 端 版 本 的 兼容 性 

设置 Docker 服务 端的 监听 地 址 。 默 认 使 用 unix:///var/run/docker.sock， 这 其 
实 也 是 Docker 客户 端 采用 的 默认 值 

如 果 该 环境 变量 不 为 空 ， 则 与 Docker 服务 端的 所 有 交互 都 通过 TLS 协议 进 
行 加 密 

配置 TLS 通信 所 需要 的 验证 文件 (包括 ca.pem 、certpem 和 key.pem) 的 路 
径 ， 默 认 是 ~/.docker 
COMPOSE HTTP TIMEOUT Compose 发 送 往 Docker 服务 端的 请 求 的 超时 ， 默 认为 60 秒 


COMPOSE API VERSION 


DOCKER HOST 


DOCKER TLS VERIFY 


DOCKER CERT PATH 


24.5 ”Compose 模 板 文件 


模板 文件 是 使 用 Compose 的 核心 ， 涉 及 的 指令 关键 字 也 比较 多 。 但 大 家 不 用 担心 ， 这 里 的 大 部 分 指令 与 docker run 相 关 参 数 的 含义 都 是 类 似 的 。 


默认 的 模板 文件 名 称 为 docker-compose.yml， 格 式 为 YAML 格 式 。 


在 旧版 本 (版 本 1) 中 ， 其 中 每 个 顶级 元 素 为 服务 名 称 ， 次 级 元 素 为 服务 容器 的 配置 信息 ， 例 如 : 


webapp: 
image: examples/web 
ports: 


版 本 2 扩展 了 Compose 的 语法 ， 同 时 尽量 兼容 版 本 1， 除 了 可 以 声明 网 络 和 存储 信息 外 ， 最 大 的 不 同一 是 添加 了 版 本 信息 ， 另 一 个 是 需要 将 所 有 的 服务 放 到 services 根 下 面 。 


例如 ， 上 面 例子 改写 为 版 本 2， 内 容 为 : 


Version: "2" 
Sservices: 
webapp: 
image: examples/web 


注意 ， 每 个 服务 都 必须 通过 image 指 令 指定 镜像 或 build 指 令 (需要 Dockerfile) 等 来 自动 构建 生成 镜像 。 


如 果 使 用 build 指 令 ， 在 Dockerfile 中 设置 的 选项 (例如 : CMD、EXPOSE、VOLUME、ENV 等 ) 将 会 自动 被 获取 ， 无 需 在 docker-compose.yml 中 再 次 设置 。 
表 24-3 列 出 这 些 指令 的 功能 。 


表 24-3 ”Compose 模 板 文件 主要 指令 


指令 


build 


cap_add, cap drop 


command 

cgroup parent 
container name 
devices 

dns 

dns_ search 
dockerfile 

env file 
environment 
expose 


extends 
external links 
extra hosts 


image 


指 令 
labels 


links 
log driver 


log_ opt 


net 
pid 


ports 
security opt 


ulimits 
volumes 


volumes driver 


volumes from 


下 面 介绍 部 分 指令 的 用 法 。 


1.Build 指 令 


功 能 

指定 服务 镜像 Dockerfile 所 在 路 径 

指定 容器 的 内 核能 力 (capacity) 分 配 

覆盖 容器 启动 后 默认 执行 的 命令 

指定 父 cgroup 组 ， 意 味 着 将 继承 该 组 的 资源 限制 

指定 容器 名 称 。 默 认 将 会 使 用 项 目 名 称 _ 服务 名 称 _ 序 号 这 样 的 格式 

指定 设备 映射 关系 

自 定 义 DNS 服务 器 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 

配置 DNS 搜索 域 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 

指定 额外 编译 镜像 的 Dockefile 文件 ， 可 以 通过 该 指令 来 指定 

从 文件 中 获取 环境 变量 ， 可 以 为 单独 的 文件 路 径 或 列表 

设置 环境 变量 ， 可 以 使 用 数组 或 字典 两 种 格式 

暴露 端口 

基于 其 他 模板 文件 进行 扩展 

链接 到 daocker-compose.yml 外 部 的 容器 ， 甚 至 可 以 是 非 Compose 管理 的 外 部 
容 需 

指定 额外 的 host 名 称 映射 信息 

指定 为 镜像 名 称 或 镜像 ID 。 如 果 镜 像 在 本 地 不 存在 ，Compose 将 会 尝试 拉 取 这 个 
镜像 

( 续 ) 
功 能 

为 容器 添加 Docker 元 数据 (metadata) 信息 

链接 到 其 他 服务 中 的 容 需 

指定 日 志 驱 动 类 型 ， 类 似 于 Docker 中 的 --log-driver 参数 。 目 前 支持 三 种 日 志 驱 动 
类 型 : log_driver: "json-file" 、log_driver: "syslog" 、log_driver: "none" 

日 志 驱 动 的 相关 参数 

设置 网 络 模式 。 人 参数 类 似 于 docker client 的 --net 参数 一 样 

跟 主机 系统 共享 进程 命名 空间 。 打 开 该 选项 的 容器 之 间 ， 以 及 容器 和 宿主 机 系统 
之 间 可 以 通过 进程 ID 来 相互 访问 和 操作 

暴露 端口 信息 

指定 容器 模板 标签 (label) 机 制 的 默认 属性 (如 用 户 、 角 色 、 类 型 、 级 别 等 ) 

指定 容 需 的 ulimits 限制 值 

数据 卷 所 挂 载 路 径 设 置 。 可 以 设置 宿主 机 路 径 ( BOST :CONTAINER) 或 加 上 访问 
模式 (HOST:CONTAINER: ro) 

较 新 版 本 的 Docker 支持 数据 卷 的 插件 驱动 

从 另 一 个 服务 或 容 需 挂 载 它 的 数据 卷 


指定 Dockerfile 所 在 文件 夹 的 路 径 〈 可 以 是 绝对 路 径 ， 或 者 相对 docker-compose.yml 文 件 的 路 径 ) 。Compose 将 会 利用 它 自动 构建 这 个 镜像 ， 然 后 使 用 这 个 镜像 : 


build: /path/to/build/dir 


2.cap_add, cap drop 
指定 容器 的 内 核能 力 (capacity) 分 配 。 


例如 ， 让 容器 拥有 所 有 能 力 可 以 指定 为 : 


cap_agd: 
— ALL 


去 掉 NET_ADMIN 能 力 可 以 指定 为 : 


cap_qrop: 
— NET_ADMIN 


3.command 


盖 容 器 启动 后 默认 执行 的 命令 : 


command: echo "hello wor1d" 


4.cgroup_parent 
指定 父 cgroup 组 ， 意 味 着 将 继承 该 组 的 资源 限制 。 


例如 ， 创 建 了 一 个 cgroup 组 名 称 为 cgroups 1; 


cgroup _ Parent : cgroups 1 


5.container name 


指定 容器 名 称 。 默 认 将 会 使 用 “项 目 名 称 服务 名 称 序号 ”这 样 的 格式 。 例 如 : 


container name: docker-web-container 


需要 注意 ， 指 定 容器 名 称 后 ， 该 服务 将 无 法 进行 扩展 ， 因 为 Docker 不 允许 多 个 容器 具有 相同 的 名 称 。 


6.devices 


指定 设备 映射 关系 ， 例 如 : 


devices: 
— "/dev/ttyUSB1:/dev/ttyUSBO™" 


7.dns 


自 定义 DNS 服务 器 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 ， 例 如 : 


8.dns search 


配置 DNS 搜索 域 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 ， 例 如 : 


dns_search: example.com 
dns_search: 
— domainl .example.com 
— domain2 .example.com 


9.Dockerfile 


如 果 需 要 ， 指 定额 外 的 编译 镜像 的 Dockefile 文 件 ， 可 以 通过 该 指令 来 指定 ， 例 如 : 


Dockerfile: Dockerfile-alternate 


i 

该 指令 不 能 跟 image 同 时 使 用 ， 否 则 Compose 将 不 知道 根据 哪个 指令 来 生成 最 终 的 服务 镜像 。 

10.env file 

从 文件 中 获取 环境 变量 ， 可 以 为 单独 的 文件 路 径 或 列表 。 

如 果 通过 docker-compose-f FILE 方 式 来 指定 Compose 模 板 文件 ， 则 env file 中 变量 的 路 径 会 基于 模板 文件 路 径 。 


如 果 有 变量 名 称 与 environment 指 令 冲 突 ， 则 按照 惯例 ， 以 后 者 为 准 : 


env_ file: .env 

env file: 
一 ./common.env 
- ./apps/web.env 
- /opt/secrets.env 


环境 变量 文件 中 每 一 行 必须 符合 格式 ， 支 持 # 下 头 的 注释 行 : 


# common.env: Set development environment 
PROG ENV=development 


11.environment 


设置 环境 变量 ， 可 以 使 用 数组 或 字典 两 种 格式 。 


只 给 定名 称 的 变量 会 自动 获取 运行 Compose 主 机 上 对 应 变量 的 值 ， 可 以 用 来 防止 泄露 不 必要 的 数据 。 例 如 : 


environment: 
RACK ENV: development 
SESSION_SECRET: 


或 者 : 


environment: 
— RACK ENV=development 
— SESSION SECRET 


注意 ， 如 果 变 量 名 称 或 者 值 中 用 到 true|false，yes|no 等 表达 布尔 含义 的 词汇 ， 最 好 放 到 引号 里 ， 避 免 YAML 自 动 解析 某 些 内 容 为 对 应 的 布尔 语义 : 


http://yaml.org/type/bool. i 了 这 些 特定 词汇 ， 包 括 
ylY|lyes|Yes|YES|n|N|nolNo 
ItruelTrue|TRUE |falselFalsel ee 
lonlOn|ON|off|Off|OFF 


吕 


12.expose 


暴露 端口 ， 但 不 映射 到 宿主 机 ， 只 人 允许 能 被 连接 的 服务 访问 。 仪 可 以 指定 内 部 端口 为 参数 ， 如 下 所 示 : 


expose: 


13.extends 


基于 其 他 模板 文件 进行 扩展 。 例 如 ， 我 们 已 经 有 了 一 个 webapp 服 务 ， 定 义 一 个 基础 模板 文件 为 common.yml， 如 下 所 示 : 


# common.yml 
webapp: 
build: ./webapp 
environment: 
— DEBUG=false 
— SEND EMAILS=false 


再 编写 一 个 新 的 development.yml 文 件 ,使 用 common.yml 中 的 webapp 服 务 进行 扩 


出 


# development .yml 
web: 
extends: 
file: common.yml 
service: webapp 
ports: 
— "8000:8000" 
links: 
environment: 
- DEBUG=true 


image: postgres 


后 者 会 自动 继承 common.yml 中 的 webapp 服 务 及 环境 变量 定义 。 


使 用 extends 需 要 注意 以 下 几 点 : 


“ 要 避免 出 现 循环 依赖 ， 例 如 A 依 赖 B，B 依 赖 C，C 反 过 来 依赖 A 的 情况 。 


"extends 不 会 继承 links 和 volumes_ftom 中 定义 的 容器 和 数据 卷 资源 。 


一 般 情 况 下 ， 推 荐 在 基础 模板 中 只 定义 一 些 可 以 共享 的 镜像 和 环境 变量 ， 在 扩展 模板 中 具体 指定 应 用 变量 、 链 接 、 数 据 卷 等 信息 。 


14.external links 


链接 到 docker-compose.yml 外 部 的 容器 ， 甚 至 可 以 是 非 Compose 管 理 的 外 部 容器 。 参 数 格式 跟 links 类 似 : 


external links: 
- redis 1 
Project . Gb 1:mysql 
- project db 1:postgresql 


15.extra_hosts 


类 似 于 Docker 中 的 --add-host 参 数 ， 指 定额 外 的 host 名 称 映射 信息 ， 例 如 : 


extra hosts: 
— "googledns:8.8.8.8" 
-~ "dockerhub:52.1.157,.61° 


会 在 启动 后 的 服务 容器 中 /etc/hosts 文 件 中 添加 如 下 两 条 条 目 : 


8.8.8.8 googledns 
52.1.157.61 dockerhub 


16.image 


指定 为 镜像 名 称 或 镜像 ID。 如 果 镜像 在 本 地 不 存在 ，ComPpose 将 会 尝试 拉 取 这 个 镜像 ， 例 如 : 


image: ubuntu 


image: orchardup/postgresql 
image: a4bc65fd 


17.labels 


为 容器 添加 Docker 元 数据 (metadata) 信息 。 例 如 ， 可 以 为 容器 添加 辅助 说 明 信 息 : 


labels: 
com.startupteam.description: “webapp for a startup team" 
com.startupteam.department: "devops department™" 
com.startupteam.release: "rc3 for v1.0" 


18.links 


链接 到 其 他 服务 中 的 容器 。 使 用 服务 名 称 (同时 作为 别名 ) ， 或 者 “服务 名 称 : 服务 别名 ” (如 SERVICE: ALIAS) ， 这 样 的 格式 都 可 以 ,例如 : 


links: 


-Ob 
- db:database 
~- redis 


使 用 的 别名 将 会 自动 在 服务 容器 中 的 /etc/hosts 里 创建 。 例 如 : 


T7211.2.186 tb 
172.17.2.186 database 
172.17.2.187 redis 


所 连接 容器 中 相应 的 环境 变量 也 将 创建 。 
19.log driver 


类 似 于 Docker 中 的 --log-driver 人 参数， 指定 日 志 驱 动 类 型 。 目 前 支持 三 种 日 志 驱动 类 型 : 


log driver: "json-file" 
log driver: "syslog" 
log driver: "none" 


20.log_opt 


日 志 驱 动 的 相关 参数 。 例 如 : 


log driver: "syslog" 
log_opt: 
syslog-address: "tcp://192.168.0.42:123" 


21.net 


设置 网 络 模式 。 参 数 类 似 于 docker client 的 --net 参 数 : 


net: "bridge" 

net: "none” 

net: "container: [name or id]" 
net: "host" 


22.pid 


跟 主 机 系统 共享 进程 命名 空间 。 打 开 该 选项 的 容器 之 间 ， 以 及 容器 和 宿主 机 系统 之 间 可 以 通过 进程 ID 来 相互 访问 和 操作 : 


Pid: "host" 


使 用 “宿主 : 容器 ” (如 “HOST: CONTAINER”) 格式 ,或 者 仅仅 指定 容器 的 端口 (宿主 将 会 随机 选择 端口 ) : 


ports: 

"3000" 

"8000:8000" 
"49100:22" 
"127.0.0.1:8001:8001" 


人 


Ot 言 


当 使 用 "HOST: CONTAINER" 格 式 来 映射 端口 时 ， 如 果 你 使 用 的 容器 端口 小 于 60 并 且 没 放 到 引号 里 ， 可 能 会 得 到 错误 结果 ， 因 为 YAML 会 自动 解析 xx: yy 这 种 数字 格式 为 60 进 制 。 为 避免 出 现 这 种 问 
建议 数字 串 都 采用 引号 包括 起 来 的 字符 串 格式 。 


24.security opt 


指定 容器 模板 标签 (label) 机 制 的 默认 属性 (用 户 、 角 色 、 类 型 、 级 别 等 ) 。 例 如 ， 配 置 标签 的 用 户 名 和 角色 名 : 


security opt: 
=- label:user:USER 
— label:role:ROLE 


25.ulimits 


指定 容器 的 ulimits 限 制 值 。 例 如 ， 指 定 最 大 进程 数 为 65535， 指 定 文件 句柄 数 为 20000 ( 软 限制 ， 应 用 可 以 随时 修改 ， 不 能 超过 硬 限制 ) 和 40000 (系统 硬 限制 ， 只 能 root 用 户 提高 ) 。 


ulimits: 
nproc: 65535 
nofile: 
soft: 20000 
hard: 40000 


26.volumes 


数据 卷 所 挂 载 路 径 设置 。 可 以 设置 宿主 机 路 径 (HOST: CONTAINER) 或 加 上 访问 模式 (HOST: CONTAINER: ro) 。 该 指令 中 路 径 支持 相对 路 径 。 例 如 : 


Volumes : 
— /var/lib/mysql 
— cache/:/tmp/cache 
- ~/configs:/etc/configs/:ro 


27.volumes driver 


较 新 版 本 的 Docker 支 持 数据 卷 的 插件 驱动 。 用 户 可 以 先 使 用 第 三 方 驱动 创建 一 个 数据 卷 ， 然 后 使 用 名 称 来 访问 它 。 此 时 ， 可 以 通过 volumes_driver 来 指定 驱动 : 


Volume driver: mydriver 


28.volumes from 


从 另 一 个 服务 或 容器 挂 载 它 的 数据 卷 : 


Volumes from: 
- service name 
- container name 


29. 其 他 指令 


此 外 ， 还 有 包括 cpu_shares、cpuset、domainname、entrypoint、hostname、ipc、mac address、mem limit、memswap _limit、privileged、read_only、restart、stdin_open、tty、user、 


working_dir 等 指令 ， 基 本 跟 docker-run 中 对 应 参数 的 功能 一 致 。 


例如 ， 指 定 使 用 CPU 核 0 和 核 1， 只 用 50% 的 CPU 资源 : 


cpu_ shares: 73 
cpuset: 0,1 


指定 服务 容器 启动 后 执行 的 命令 : 


entrypoint: /code/entrypoint.sh 


指定 容器 中 运行 应 用 的 用 户 名 : 


user: nginx 


指定 容器 中 工作 目录 : 


working dir: /code 


指定 容器 中 搜索 域名 、 主 机 名 、mac 地 址 等 : 


domainname: your website.com 
hostname: test 
mac address: 08-00-27-00-0C-0A 


指定 容器 : 


ipe: host 


指定 容器 中 内 存 和 内 存 交换 区 限制 都 为 1G : 


mem limit: 1g 
memswap limit: 1g 


人 允许 容器 中 运行 一 些 特权 命令 : 


privileged: true 


指定 容器 退出 后 的 重启 策略 为 始终 重启 。 该 命令 对 保持 服务 始终 运行 十 分 有 效 ， 在 生产 环境 中 推荐 配置 为 always 或 者 unless-stopped: 


restart: always 


以 只 读 模式 挂 载 容器 的 root 文 件 系统 ， 意 味 着 不 能 对 容器 内 容 进行 修改 : 


read_only: true 


打开 标准 输入 ， 可 以 接受 外 部 输入 : 


stdin open: true 


模拟 一 个 假 的 远程 控制 台 : 


tty: true 


30. 读 取 环 境 变量 


从 1.5.0 版 本 开始 ，Compose 模 板 文件 支持 动态 读 


机 的 系统 环境 变量 。 


例如 ， 下 面 的 Compose 文 件 将 从 运行 它 的 环境 中 读 取 变量 ${MONGO_VERSION)} 的 值 ， 并 将 其 写 入 执行 的 指令 中 : 


ab: 
image: "mongo:${MONGO VERSION}" 


如 果 执 行 MONGO_VERSION=3.0 docker-compose up 则 会 启动 一 个 nongo: 3.2 镜 像 的 容器 ;如 果 执 行 MONGO_VERSION=2.8 docker-compose up 则 会 启动 一 个 mongo: 2.8 镜 像 的 容器 。 


24.6 ”Compose 应 用 案例 一 : Web 负 载 均衡 


负载 均衡 器 + Web 应 用 是 十 分 经 典 的 应 用 结构 。 下 面 ， 笔 者 将 创建 一 个 该 结构 的 Web 项 目 : 将 Haproxy 作 为 负载 均衡 器 ， 后 端 挂 载 三 个 Web 容 器 。 


首先 创建 一 个 haproxy_web 目 录 ， 作 为 项 目 工 作 目 录 ， 并 在 其 中 分 别 创建 两 个 子 目录 : web 和 haproxy。 


1.web 子 目录 


在 web 子 目录 下 将 放置 所 需 Web 应 用 代码 和 Dockerfile， 下 面 将 生成 需要 的 Web 镜 像 。 


这 里 用 Python 程序 来 实现 一 个 简单 的 Web 应 用 ， 该 应 用 能 响应 HTTP 请 求 ， 返 回 的 页 面 将 打印 出 访问 者 的 !P 和 响应 请 求 的 后 端 容器 的 IP。 


回 


(1) index.py 


编写 一 个 index.py 作 为 服务 器 文件 ， 代 码 为 : 


#!/usr/bin/python 
#authors: yeasy.github.com 
#date: 2013-07-05 
import sys 
import BaseHTTPServer 
from SimpleHTTPServer import SimpleHTTPRequestHandler 
import socket 
import fcnt1 
import struct 
import pickle 
from datetime import datetime 
from collections import OrderedDict 
class HandlerClass (SimpleHTTPRequestHandler): 
def get ip address (self,ifname): 
S = socket.socket (socket.AF INET, socket .SOCK DGRAM) 
return socket.inet ntoa(fcntl.ioctl( 
s.fileno(), 
0x8915, # SIOCGIFADDR 
struct.pack('256s', ifname[:15]) 
) [20:24]) 
def 1og message (self, format, *args): 
if len(args) < 3 or "200" not in args[1]: 
return 
try: 
request = pickle.1load (open ("pickle data.txt","r" 
except: 
request=OrderedDict () 
time now = datetime.now() 
ts = time now.strftime ('%Y-%m-%d %H:%M:%S') 
server = Self.get ip address('eth0') 
host=self .address string() 
adqr pair = (host,server) 
if addr pair not in request: 
request [addr pair]=[1,ts] 
else: 
num = request [adqr pair] [0]+1 
del request[addr pair] 
request [addr pair]=[num,ts] 
file=open ("index.html", "“w") 
file.write("<!DOCTYPE html> <html> <body><center><h1><font color=\"blue\" 
face=\"Georgia, Arial\" size=8><em>HA</em></font> Webpage Visit 
Results</h1l></center>"); 
for pair in request: 
if pair[0] 一 host: 
guest = "LOCAL: "+pair[0] 
else: 
guest = pair[0] 
if (time now-datetime.strptime (request [pair] [1],'%Y-%m-%d %H:%M:%S')) 
.Seconds < 3; 
file.write("<p style=\"font-size:150%\" >#"+ str(request[pair] 
[1]) +": <font color=\"red\">"+str (request [pair] [0])+ "</ 
font> requests " + "from &lt<font color=\"blue\">"+tguest+" 
</font>&gt to WebServer &lt<font color=\"blue\">"+pair[1]+" 
</font>ggt</p>") 


else: 
file.write("<p style=\"font-size:150%\" >#"+ str(request [pair] 

[1]) +": <font color=\"maroon\">"+str (request [pair] [0])+ 
"</font> requests " + "from &lt<font color=\"navy\">"+guestt+ 
"</font>&gt to WebServer &lt<font color=\"navy\">"+tpair[1]+ 
"</font>ggt</p>") 

file.write("</body> </html>"); 

file.close() 

Pickle.dump (request, open ("pickle data.txt", "w" 
和 he 


if name 一 "main 
try: 
ServerClass = BaseHTTPServer.HTTPServer 
Protocol = "HTTP/1.0" 


addr = len(sys.argv) < 2 and "0.0.0.0" or sys.argv[1] 
port = len(sys.argv) < 3 and 80 or int(sys.argv[2]) 
HandlerClass.protocol version = Protocol 
httpd = ServerClass( (agdar, port), HandlerClass) 
sa = httpd.socket .getsockname () 
print "Serving HTTP on", sa[0], "port", sa[1l], "http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/..." 
httpd. serve forever () 
except: 四 
exit () 


(2) index.html 


生成 一 个 临时 的 index.html 文 件 ， 其 内 容 会 由 index.py 来 更 新 : 


$ touch index.html 


(3) Dockerfile 


生成 一 个 Dockerfile， 部 署 该 Web 应 用 ， 内 容 为 : 


FROM python:2.7 
WORKDIR /code 

ADD . /code 

EXPOSE 80 

CMD python index.py 


2.haproxy 子 目录 


该 目录 将 配置 haproxy 镜 像 。 


在 其 中 生成 一 个 haproxy.cfg 文 件 ， 内 容 为 : 


global 

log 127.0.0.1 local0 

1og 127.0.0.1 locall notice 

maxconn 4096 
defaults 

1og global 

mode http 

option httplog 

option dontlognull 

timeout connect 5000ms 

timeout client 50000ms 

timeout server 50000ms 
listen stats 

bind 0.0.0.0:70 

mode http 

stats enable 

stats hide-version 

stats scope . 

stats realm Haproxy\ Statistics 

stats uri / 

stats auth user:pass 
frontend balancer 

bind 0.0.0.0:80 

mode http 

default backend web backends 
backend web backends 

mode http 

option forwardfor 

balance roundrobin 

server weba weba:80 check 

server webb webb:80 check 

server webc webc:80 check 

option httpchk GET / 

http-check expect status 200 


3.docker-compose.yml 文 件 


在 haproxy_web 目 录 下 编写 一 个 docker-compose.yml 文 件 ， 该 文件 是 Compose 使 


用 的 主 模板 文件 。 其 中 ， 指 定 启动 3 个 Web 容 器 (weba、webb、webc) 


， 以 及 1 个 Haproxy 容 器 : 


# This will start a haproxy and three web services. 
loadbalancer. 

# Authors: yeasy.github.com 

# Date: 2015-11-15 

weba: 
build: 
expose: 

-80 


haproxy will act as a 


./web 


webb: 
build: 
expose: 


./web 


webc: 
build: 
expose: 


./web 


haproxy: 
image: haproxy:1.6 
Volumes : 
— ./haproxy:/haproxy-override 
- ./haproxy/haproxy.cfg:/usr/local/etc/haproxy/haproxy.cfg:ro 
links: 
— weba 
— webb 
— webc 


— "80:80" 
- "70:70" 


4. 运 行 compose 项 目 


现在 haproxy_web 目 


录 应 该 长 成 下 面 的 样子 : 


haproxy web | 一 一 docker-compose.yml | 一 haproxy 
一 - Dockerfile 

index.html 

index.py 


haproxy.cfg 


web 


在 该 目录 下 执行 sudo docker-compose up 命令 ， 控 制 台 会 


整合 显示 出 所 有 容器 的 输出 信息 : 


$ sudo docker-compose up 


Recreating haproxyweb webb lhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/.. 
Recreating haproxyweb webc 1http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/.. 


Recreating composehaproxyweb weba lhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach « ebook/uncompressed/16033/0EBPS/Text/.. 


Recreating composehaproxyweb haproxy lhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach : ebook/uncompressed/16033/OEBPS/Text/. 训 
Attaching to composehaproxyweb webb 1, composehaproxyweb webc 1, composehaproxyweb_ 


weba 1, composehaproxyweb haproxy 1 


此 时 通过 浏览 器 访问 本 地 的 80 端 口 ， 


会 获取 到 页 面 信息 ， 如 图 24-1 所 示 。 


HA Webpage Visit Results 


#2015-11-18 02:26:47: 2 requests from <LOCAL: 172.17.0.45> to WebServer <172.17.0.44> 


24-1 访问 页 面 信息 


经 过 Haproxy 自 动 转发 到 后 端的 某 个 Web 容 器 上 ， 刷 新 页 面 ， 可 以 观察 到 访问 的 容器 地 址 的 变化 。 


访问 本 地 70 端 口 ， 可 以 查看 到 Haproxy 的 统计 信息 ， 如 图 24-2 所 示 。 


查看 本 地 的 镜像 ， 会 发 现 Compose 自 动 创建 的 haproxyweb_weba、haproxyweb_webb、haproxyweb_webc 镜 像 : 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
haproxyweb_webb latest 33d5e6f5e20b 44 minutes ago 675.2 MB 
haproxyweb weba latest 33d5e6f5e20b 44 minutes ago 675.2 MB 
haproxyweb_webc latest 33q5e6f5e20b 44 minutes ago 675.2 MB 


当然 ， 还 可 以 进一步 使 用 Consul 等 方案 来 实现 服务 自动 发 现 ， 这 样 就 可 以 不 用 手动 指定 后 端的 web 容 器 了 ， 更 为 灵活 。 


AProxy 
atistics Report for pid 1 


P General process information 


pld ~ 1 (process#1, nbproc = 1]) actve UP, going down 是 backup UP, going down » Pimanste 
DS ad acive DOWN, going up 罩 backup DOWN. going up » Hide ‘DOWN' servers » Udsbss v1.5) 
ital pa hse te ere active or backup DOWN 目 notcnecved » Refresh now * Online manual 
current conns = 4. current pipes = 0/D, conn fate = 0S6c acive or backup DOWN for maintenance (MAINT) » CSV export 
Running tasks: 4/11; idle = 100 % acive orbackup SOFT STOPPED for maintenance 

Note: "NOLBYDRAN" = UP with load-balancing disabled 


acive UP 注 : Extemal resources: 


一 | 
[sacan | of of | ol of | ol ol 32% of ol osl 426| 108824| 0 ol | sr a RE Tl i ll 


图 24-2 访问 haproxy 的 统计 信息 


24.7 Compose 应 用 案例 二 : 大 数据 Spark 集 群 


1. 简 介 
Spark 是 Berkeley 开 发 的 分 布 式 计算 的 框架 ， 相 对 于 Hadoop 来 说 ，Spark 可 以 缓存 中 间 结 果 到 内 存 从 而 提高 某 些 需 要 迭代 的 计算 场景 的 效率 ， 目 前 受到 广泛 关注 。 


熟悉 Hadoop 的 读者 会 比较 轻松 ，Spark 很 多 设计 理念 和 用 法 都 跟 Hadoop 保 持 一 至 和 相似 ， 并 且 在 使 用 上 完全 兼容 HDFS。 但 是 Spark 的 安装 并 不 容易 ， 依 赖 包括 Java、Scala、HDFS 等 。 


通过 使 用 Docker Compose， 可 以 快速 地 在 本 地 搭建 一 套 Spark 环 境 ， 方 便 大 家 开发 Spark 应 用 ， 或 者 扩展 到 生产 环境 。 


2. 准 备 工 作 


这 里 ， 我 们 采用 比较 热门 的 sequenceiq/docker-spark 镜 像 ， 这 个 镜像 已 经 安装 了 对 Spark 的 完整 依赖 。 由 于 镜像 比较 大 (超过 2GB) ， 推 荐 先 下 载 镜像 到 本 地 : 


$ docker pull sequenceiq/spark:1.4.0 


(1) docker-compose.yml 文 件 


首先 新 建 一 个 spark_cluster 目 录 ， 并 在 其 中 创建 一 个 docker-compose.yml 文 件 。 文 件 内 容 如 下 : 


master: 
image: sequenceiq/spark:1.4.0 
hostname: master 
ports: 
— "4040:4040" 
"8042:8042™ 
起 全 A 
"8088:8088" 
— "8080:8080" 
restart: always 
#mem limit: 1024m 
command: bash /usr/local/spark/sbin/start-master.sh && ping localhost > /dev/null 
worker: 
image: sequenceiq/spark:1.4.0 
links: 
- master:master 
expose: 
et 081" 
restart: always 
command: bash /usr/local/spark/sbin/start-slave.sh spark://master:7077 && 
ping localhost >/dev/null 


docker-compose.yml 中 定义 了 两 种 类 型 的 服务 : master 和 slave。master 类 型 的 服务 容器 将 负责 管理 操作 ，worker 则 负责 具体 处 理 。 


(2) master 服 务 


master 服 务 映射 了 好 几 组 端口 到 本 地 ， 端 口 的 功能 如 下 : 


“ 4040: Spatrk 运 行 任务 时 候 提 供 Web 界 面 观 察 任务 的 具体 执行 状况 ， 包 括 执 行 到 哪个 阶段 、 在 哪个 executor 上 执行 ; 


: 8042: Hadoop 的 节点 管理 界面 ; 


“7077: Spatk 主 节点 的 监听 端口 ， 用 户 可 以 提交 应 用 到 这 个 端口 ，wotker 节 点 也 可 以 通过 这 个 端口 连接 到 主 节点 构成 集群 ; 
: 8080: Spatk 的 监控 界面 ， 可 以 看 到 所 有 wotker、 应 用 的 整体 信息 ; 
“ 8088: Hadoop 集 群 的 整体 监控 界面 。 
(3) worker 服 务 
类 似 于 master 节 点 ， 启 动 后， 执行 /usr/local/spark/sbin/start-slave.sh spark: /master: 7077 命 令 来 配置 自己 为 worker 节 点 ， 然 后 通过 ping 来 避免 容器 退出 。 


注意 ， 启 动 脚本 后 面 需要 提供 spark: /master: 7077 参 数 来 指定 master 节 点 地 址 。 


24-3 所 示 。 


四 | 


8081 端 口 提供 的 Web 界 面 ， 可 以 看 到 该 worker 节 点 上 任务 的 具体 执行 情况 ， 如 


D: worker-20150922015607-172.17.0.47-52698 
aster URL: spark-//master-7077 
ores: 8 (0 Used) 
emory: 14.7 GB (0.0 B Used) 


ack to Master 


Memory Job Detalls Logs 


512.0 MB ID: app-20150922020714-0000 stdout stderr 
Name: Spark shell 
User: root 


512.0 MB ID: app-20150922021413-0001 stdout stderr 
Name: Spark Pi 
User root 


24-3 ”查看 任务 的 执行 情况 


3. 启 动 集群 


在 spark_cluster 目 录 下 执行 启动 命令 : 


$ docker-compose up 


docker-compose 服 务 运行 起 来 后 ， 我 们 还 可 以 用 scale 命 令 来 动态 扩展 Spark 的 worker 节 点 数 ， 例 如 : 


$ docker-compose scale worker=2 
Creating and starting 2http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... done 


4 执行 应 用 


Spark 推 荐 用 spark-submit 命 令 来 提交 执行 的 命令 ， 基 本 语法 为 : 


spark-submit \ 
--class your-class-name \ 
--master master url \ 
your-jar-file 
app_params 


例如 ， 我 们 可 以 使 用 Spark 自 带 样 例 中 计算 Pi 的 应 


在 master 节 点 上 执行 如 下 命令 : 


/usr/local/spark/bin/spark-submit --master spark://master:7077 --conf "spark. 
eventLog.enabled=true" --class org.apache.spark.examples.SparkPi /usr/local/ 
spark/lib/spark-examples-1.4.0-hadoop2.6.0.jar 1000 


最 后 的 参数 1000 表 示 要 计算 的 迭代 次 数 为 1000 次 。 


任务 运行 中 ， 可 以 用 浏览 器 访问 4040 端 口 ， 看 到 任务 被 分 配 到 了 两 个 worker 节 点 上 执行 ， 如 图 24-4 所 示 。 


Spa 和 a Stages Storage Environment 


Spark Pi application U 


Executors (3) 


Memory: 0.0 B Used (736.2 MB Total) 
Disk: 0.0 B Used 


Executor RDD Memory Complete 
ID Address Blocks Used Tasks 


Shuffle 
Input Read 


Logs 


Thread 
Dump 


0 17217.047:52096 0 00B/265.4 46 
MB 


00B 00B 


stdout 
stderr 


Thread 
Dump 


172.17.0.49:55494 0 0.0B6B/265.4 |0. 61 
MB 


00B 0.0B 


stdout 
stderr 


Thread 
Dump 


driver 172.17.0.46-35519 0 00B/2654 
MB 


00B 00B 


Thread 
Dump 


图 24-4 ”执行 应 用 


24.8 ”本 章 小 结 


本 章 介绍 了 Docker 的 官方 工具 Compose 的 安装 和 使 用 情况 ， 并 结合 两 个 具体 案例 展示 Compose 带 来 的 编排 能 力 。 


通过 Compose， 用 户 可 以 编写 和 分 发 一 个 简单 的 模板 文件 ， 快 速 地 创建 一 套 基 于 Docker 容 器 的 服务 栈 。 在 Docker 三 剑客 中 ，Compose 掌 管 运行 时 的 编排 能 力 ， 位 置 十 分 关键 。 


推荐 读者 在 日 常 工 作 中 注意 使 用 Compose 来 编写 服务 模板 ， 并 注意 对 常见 工具 栈 的 模板 文件 进行 积累 。 


第 25 章 ”Docker 三 剑客 之 Docker Swarm 


Docker Swarm 是 Docker 官 方 的 三 剑客 项 目 之 一 ， 提 供 Docker 容 器 集群 服务 ， 是 Docker 官 方 对 容器 云 生 态 进 行 支持 的 核心 方案 。 使 用 它 ， 用 户 可 以 将 多 个 Docker 主 机 封装 为 和 


主机 ， 快 速 打造 一 套 容器 云 平台 。 


本 章 将 介绍 Swarm 项 目的 相关 情况 ， 以 及 如 何 进行 安装 和 使 用 ， 最 后 将 对 Swarm 的 服务 发 现 后 端 、 调 度 器 和 过 滤器 等 功能 进行 讲解 。 


25.1 简介 


Docker Swarm 是 Docker 公 司 推出 的 官方 容器 集群 平台 ， 基 于 Go 语言 实现 ， 代 码 开源 在 https://github.com/docker/swarm。 
在 AWS 等 公有 云 平台 使 用 Swarm。 


a 个 大 型 的 虚拟 Docker 


目前 , 包括 Rackspace 在 内 的 许多 平台 都 采用 了 Swarm， 


户 也 很 容易 


Swarm 的 前 身 是 Beam 项 目 和 libswarm 项 目 ， 首 个 正式 版 本 (Swarm V1) 在 2014 征 


FE12 月 初 发 布 。 为 了 提高 可 扩 


Docker Engine 已 经 集成 了 Swarm Kit， 加 强 了 对 Swarm 的 协作 支持 。 


展 性 ，2016 征 


F2 月 对 架构 进行 


新 设计 ， 推 出 了 V2 版 本 ， 支 持 超过 1 干 个 节 


尽 。 


最 新 的 


作为 容器 集群 管理 器 ，Swarm 最 大 的 优势 之 一 就 是 100% 支 持 标准 的 Docker API。 各 种 基于 标准 API 的 工具 ， 如 Compose、docker-py， 各 种 管理 软件 ， 甚 至 Docker 本 身 等 都 可 以 很 容易 地 与 Swarm 
进行 集成 。 这 大 大 方便 了 用 户 将 原先 基于 单 节 点 的 系统 移植 到 Swarm 上 。 同 时 Swarm 内 置 了 对 Docker 网 络 插件 的 支持 ， 用 户 可 以 很 容易 地 部 署 跨 主机 的 容器 集群 服务 。 


Swarm V1 的 结构 图 如 图 25-1 所 示 。 可 以 看 出 ，Swarm 是 典型 的 master-slave 结 构 ， 通 过 发 现 服务 来 选举 manager。manager 是 中 心 管理 节点 ， 各 个 node 上 运行 agent 接 受 manager 的 统一 管理 。 


本 


Docker Docker Docker 


cluster 


node discovery 


strategy 
“cluster 


filter 
cluster 


Docker Client 


图 25-1 Swarm 基本 结构 图 


在 V2 中 ， 集 群 会 自动 通过 Raft 协 议 分 布 式 选举 出 manager 节 点 ， 无 需 额 外 的 发 现 服务 支持 ， 避 免 了 单 点 瓶颈 。 同 时 ，V2 中 内 置 了 基于 DNS 的 负载 均衡 和 对 外 部 负载 均衡 机 制 的 集成 支持 。 


目前 ，Swarm V1 支持 的 Docker 版 本 为 1.6.0+，V2 支 持 的 Docker 版 本 为 1.12.0+。 本 章 将 以 Swarm V1 为 主 进行 介绍 ， 并 结合 V2 的 部 分 最 新 特性 进行 讲解 。 


25.2 ”安装 Swarm 


安装 Swarm 有 几 种 方式 ， 可 以 基于 Docker Machine 进 行 安装 ， 也 可 以 手动 配置 。 为 了 能 更 容易 理解 Swarm 的 组 件 和 更 灵活 地 进行 管理 ， 推 荐 使 用 手动 配置 方式 。 


对 于 Docker 1.12+ 版 本 ，Swarm 相 关 命令 已 经 原生 嵌入 到 了 Docker Engine 中 ， 对 于 较 低 版 本 的 Docker， 需 要 额外 进行 配置 。 
1. 下 载 镜像 


Docker 官 方 已 经 提供 了 Swarm 镜像 ， 需 要 在 所 有 被 Swarm 管理 的 Docker 主 机 上 下 载 该 镜像 : 


$ docker pull swarm 


可 以 使 用 下 面 的 命令 来 查看 Swarm 版 本 ， 验 证 是 否 成 功 下 载 Swarm 镜像 ; 


$ docker run --rm Swarm -Vv 
swarm version 1.2.2 (34e3da3) 


2. 配 置 节点 


Docker 主 机 在 加 入 Swarm 集群 前 ， 需 要 进行 一 些 简 单 配置 ， 添 加 Docker daemon 的 网 络 监 听 。 例 如 ， 在 启动 Docker daemon 的 时 候 通 过 -H 参 数 : 


$ sudo docker daemon -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock 


3 

Docker 1.8.0 前 的 版 本 不 支持 daemon 命 令 ， 可 以 用 -d 代 替 。 

如 果 是 通过 服务 方式 启动 ， 则 需要 修改 服务 的 配置 文件 。 

以 Ubuntu 14.04 为 例 ， 配 置 文件 为 /etc/default/docker (其 他 版 本 的 Linux 上 上 略 有 不 同 ) 。 在 文件 的 最 后 添加 : 


DOCKER_OPTS="$DOCKER OPTS -8 tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock" 


3. 启 动 集群 


Docker 集 群 管理 需要 使 用 服务 发 现 (Service Discover) 功能 ，Swarm 支 持 以 下 几 种 方式 : Docker Hub、 本 地 文件 、Etcd、Consul、Zookeeper 和 手动 指定 节点 |P 地 址 信息 等 。 


除了 手动 指定 外 ， 这 些 方法 原理 上 都 是 通过 维护 一 套数 据 库 机 制 来 管理 集群 中 注册 节点 的 Docker Daemon 的 访问 信息 。 


本 地 配置 集群 推荐 使 用 Consul 作 为 服务 发 现 后 端 。 利 用 社区 提供 的 Docker 镜 像 ， 整 个 过 程 只 需要 三 步 即 可 完成 。 


(1) 启动 Consul 服 务 后 端 


启动 Consul 服 务 容器 ， 映 射 到 主机 的 8500 端 


$ docker run -d -p 8500:8500 --name=consul progrium/consul -server -bootstrap 


获取 到 本 地 主机 的 地 址 作为 consul 的 服务 地 址 : <consul_ip>:8500。 


(2) 启动 管理 节点 


首先 启动 一 个 主管 理 节点 ， 映 射 到 主机 的 4000 端 口 ， 并 获取 所 在 主机 地 址 为 <manager0_ip>。 其 中 4000 端 口 是 Swarm 管 理 器 的 默认 监听 端口 ， 用 户 也 可 以 指定 映射 为 其 他 端 


$ docker run -d -p 4000:4000 swarm manage -H :4000 --replication --advertise 
<manager0_ip>:4000 consul://<consul ip>:8500 


为 了 提高 可 用 性 ， 也 可 以 启动 从 管理 节点 。 假 定 获取 所 在 主机 地 址 为 <manager1_ip> : 


$ docker run -d swarm manage -H :4000 --replication --advertise <managerl ip>: 
4000 consul://<consul ip>:8500 


(3) 启动 工作 节点 


需要 在 每 个 工作 节点 上 启动 agent 服 务 。 获 取 节 点 的 主机 地 址 为 <node ip> ， 并 指定 前 面 获取 到 的 consul 服 务 地 址 : 


$ docker run -d swarm join --advertise=<node ip>:2375 consul://<consul ip>:8500 


节点 启动 后 ， 用 户 可 以 指定 Docker 服 务 地 址 为 <manager0_ip> : 4000> 来 测试 各 种 Docker 命 令 ， 可 以 看 到 整个 Swarm 集群 就 像 一 个 虚拟 的 Docker 主 机 一 样 正 常 工作 。 


由 于 Swarm 实际 上 是 通过 agent 调 用 了 本 地 的 Docker daemon 来 运行 容器 ， 当 Swarm 集群 服务 出 现 故 障 时 ， 无 法 接受 新 的 请 求 ， 但 已 经 运行 起 来 的 容器 将 不 会 受到 影响 。 


25.3 ”使 用 Swarm 


前 面 演示 了 基于 Consu| 服 务 发 现 后 端 来 配置 一 个 本 地 Swarm 集群 。 其 中 ，Consul 也 可 以 被 蔡 换 为 Etcd、ZooKeeper 等 。 


另外 一 个 更 方便 的 方式 是 直接 使 用 Docker Hub 提 供 的 免费 服务 发 现 后 端 。 下 面 使 用 这 种 方式 来 演示 Swarm 的 主要 操作 ， 包 括 : 


“ cteate: 创建 一 个 集群 ; 
“list: 列 出 集群 中 的 节点 ; 
“ manage; 管理 一 个 集群 ; 


“join: 让 节点 加 入 到 某 个 集群 。 


注意 ， 使 用 Docker Hub 的 服务 发 现 后 端 ， 需 要 各 个 节点 能 通过 公 网 访问 到 Docker Hub 的 服务 接口 。 
1. 创 建 集群 id 


在 任意 一 台 安 装 了 Swarm 的 机 器 上 执行 swarm create 命 令 来 在 Docker Hub 服 务 上 进行 注册 。Swarm 会 通过 服务 发 现 后 端 (此 处 为 Docker Hub 提 供 ) 来 获取 一 个 唯一 的 由 数字 和 字母 组 成 的 token， 
来 标识 要 管理 的 集群 : 


$ docker run --rm Swarm create 
946d65606f7c2f49766e4dddac5b4365 


注意 返回 的 字符 串 ， 这 是 集群 的 唯一 id， 加 入 集群 的 各 个 节点 将 需要 这 个 信息 。 


2. 配 置 集群 节点 


在 所 有 要 加 入 集群 的 普通 节点 上 执行 swarm join 命令 ， 表 示 把 这 台 机 器 加 入 指定 集群 当中 。 例 如 ， 某 台 机 器 的 IP 地 址 为 192.168.0.2， 将 其 加 入 我 们 刚 创建 的 946d65606-f7c2f49766e4dddac5b4365 集 
群 ， 则 可 以 使 用 如 下 命令 : 


$ docker run --rm swarm join --addr=192.168.0.2:2375 token://946d65606f7c2f49766 


e4dddac5b4365 
time="2015-12-09T08:59:432" level=info msg="Registering on the discovery 
service every 20shttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/..." addr="192.168.0.2:2375" discovery="token:// 


946d65606f7c2f49766e4dddac5b4365" 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


其 中 ，--addr 指 定 的 IP 地 址 信息 将 被 发 送 给 服务 发 现 后 端 ， 用 以 区 分 集群 不 同 的 节点 。manager 服 务必 须要 通过 这 个 地 址 可 以 访问 到 该 节点 。 


通过 控制 台 可 以 看 到 ， 上 述 命令 执行 后 ， 默 认 每 隔 20 秒 (可 以 通过 --heartbeat 选 项 指定 ) 会 输出 一 条 心跳 信息 。 对 于 发 现 服务 后 端 来 说 ， 默 认 如 果 超 过 60 秒 (可 以 通过 --ttl 选 项 指定 ) 没有 收 到 心跳 信 
息 ， 则 将 节点 从 列表 中 删除 。 


如 果 不 希 望 看 到 输出 日 志 信 息 ， 则 可 以 用 -d 选 项 替换 --rm 选 项 ， 让 服务 后 台 执 行 。 


执行 swarm join 命 令 实际 上 是 通过 agent 把 自己 的 信息 注册 到 发 现 服务 上 ， 因 此 ， 此 时 对 于 后 端的 发 现 服务 来 说 ， 已 经 可 以 看 到 有 若干 节点 注册 上 来 了 。 那 么 ， 如 何 管理 和 使 用 这 些 节点 呢 ? 这 就 得 需 
要 Swarm 的 manager 服 务 了 。 


3. 配 置 管理 节点 


配置 管理 节点 需要 使 用 swarm manage 命 令 ， 该 命令 将 启动 manager 服 务 ， 默 认 监听 到 2375 端 口 ， 所 有 对 集群 的 管理 都 可 以 通过 该 服务 接口 进行 。 


读者 可 能 注意 到 ，manager 服 务 默认 监听 的 端口 跟 Docker 服 务 监听 端口 是 一 样 的 ， 这 是 为 了 兼容 其 他 基于 Docker 的 服务 ， 可 以 无 颖 地 切换 到 Swarm 平台 上 来 。 


仍然 在 节点 192.168.0.2 进 行 操 作 。 由 于 我 们 是 采用 Docker 容 器 形式 启动 manager 服 务 ， 本 地 的 2375 端 口 已 经 被 Docker Daemon 占用， 我们 将 manager 服 务 监听 端口 映射 到 本 地 一 个 空闲 的 12375 端 


$ docker run -d -p 12375:2375 swarm manage token://946d65606f7c2f49766e4dddac5b4365 
lelca8c4117b6b7271efc693f9685b4e907d8dc95324350392b21e94b3cffqd18 


可 以 通过 docker ps 命令 来 查看 启动 的 swarm manager 服 务 容器 : 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
lelca8c4117b swarm "/swarm manage token:" 11 seconds ago Up 10 seconds 


0.0.0.0:12375->2375/tcp jovial rosalind 


命令 如 果 执行 成 功 会 返回 刚 启动 的 Swarm 容器 的 ID。 此 时 一 个 简单 的 Swarm 集群 就 已 经 搭建 起 来 了 ， 包 括 一 个 普通 节点 和 一 个 管理 节点 。 


4 查看 集群 节点 列表 


集群 启动 成 功 以 后 ， 用 户 可 以 在 任何 一 台 节点 上 使 用 swarm list 命 令 查看 集群 中 的 节点 列表 。 例 如 : 


$ docker run --rm swarm list token://946965606f7c2£49766e4dddac5b4365 
192.168.0.2:2375 


显示 正 是 之 前 用 swarm join 命令 加 入 集群 的 节点 的 地 址 。 


我 们 在 另外 一 个 节点 192.168.0.3 上 同样 使 用 swarm join 命令 新 加 入 一 个 节点 : 


$docker run --rm swarm join --addr=192.168.0.3:2375 token://946d65606f7c2f49766 


ed4dddac5b4365 
time="2015-12-10T02:05:342" level=info msg="Registering on the discovery 
service every 20shttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/..." addr="192.168.0.3:2375" discovery="token: 


//946965606f£7c2£49766e4dddac5b4365" 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


再 次 使 用 swarm list 命 令 查 看 集群 中 的 节点 列表 信息 ， 可 以 看 到 新 加 入 的 节点 : 


$ docker run --rm swarm list token://946d65606f7c2£49766e4dddac5b4365 
192.168.0.3:2375 
T192168.0.2:32373 


5. 使 用 集群 服务 


那么 ， 怎 么 使 用 Swarm 提供 的 服务 呢 ? 实际 上 ， 所 有 Docker 客 户 端 可 以 继续 使 用 ， 只 要 指定 使 用 Swarm manager 服 务 的 监听 地 址 即 可 。 


例如 ，manager 服 务 监听 的 地 址 为 192.168.0.2: 12375， 则 可 以 通过 指定 -H 192.168.0.2: 12375 选 项 来 继续 使 用 Docker 客 户 端 ， 执 行 任 意 Docker 命 令 ， 例 如 ps、info、run 等 。 


在 任意 节点 上 使 用 docker run 来 启动 若干 容器 ， 例 如 : 


$docker -H 192.168.0.2:12375:12375 run -d ubuntu ping 127.0.0.1 
4c9bccbf86fb6e2243dqa58clb15e9378fac362783a663426bbe7058eea84de46 


使 用 ps 命令 查看 集群 中 正在 运行 的 容器 : 


$ docker -H 192.168.0.2:12375 ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

4c9bccbf86fb buntu “ping 127.0.0.1" About a minute ago Up About a minute 
Clever wright 

730061a380Ta registry:1latest "docker-registry" 2 minutes ago 
Up 2 minutes 192.168.0.2:5000->5000/tcp Host-l/registry registry 1 

72d99f24a06f redis:3.0 "/entrypoint.sh redis" 2 minutes ago 
Up 2 minutes 6379/tcp Host-1/registry redis 1, 


Host-1/registry registry 1/redis, Host-1/registry registry 1/redis 1, Host-1 
/registry registry 1/registry redis 1 


输出 结果 中 显示 目前 集群 中 正在 运行 的 容器 (注意 不 包括 Swarm manager 服 务 容器 ) ， 可 以 在 不 同 节点 上 使 用 docker ps 查看 本 地 容器 ， 会 发 现 这 些 容器 实际 上 可 能 运行 在 集群 中 的 多 个 节点 上 (由 


Swarm 调度 策略 进行 分 配 ) 。 使 用 info 查 看 所 有 节点 的 信息 : 


$ docker -H 192.168.0.2:12375 info 
Containers: 18 
Images: 36 
Role: primary 
Strategy: spread 
Filters: health, port, dependency, affinity, constraint 
Nodes: 2 
Host-1: 192.168.0.2:2375 
L- _ Containers: 15 
L- Reserved CPUs: 0 / 4 
上- Reserved Memory: 1 GiB / 4.053 GiB 
上 - Labels: executiondriver=native-0.2, kernelversion=3.16.0-43-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
Best-2 192.168.0.332375 
~ Containers: 3 
|- Reserved CPUs: 0 / 8 
- Reserved Memory: 0 B / 16.46 GiB 
- Labels: executiondriver=native-0.2, kernelversion=3.16.0-30-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
CPUs; 12 
Total Memory: 20.51 GiB 
Name: lelca8c4117b 


结果 输出 显示 这 个 集群 目前 只 有 两 个 节点 ， 地 址 分 别 是 192.168.0.2 和 192.168.0.3。 


类 似 地 ， 也 可 以 通过 Compose 模 板 来 启动 多 个 服务 。 不 过 请 注意 ， 要 想 让 服务 分 布 到 多 个 Swarm 节点 上 ， 需 要 采用 版 本 2 的 写法 。 


6. 使 用 网 络 


为 了 支持 跨 主 机 的 网 络 ，Swarm 默 认 采 用 了 overlay 网 络 类 型 ， 实 现 上 通过 vxlan 来 构建 联通 整个 Swarm 集群 的 网 络 。 


首先 在 集群 中 的 所 有 节点 上 添加 配置 Docker daemon 选 项 : 


--cluster-store=<DISCOVERY HOST:PORT> --cluster-advertise=<DOCKER DAEMON HOST:PORT> 


以 consul 服 务 为 例 ， 可 能 类 似 : 


-=--cluster-store=consul://<consul 服 务 地 址 >:8500 --cluster-advertise=192.168.0.3:2375 


之 后 重启 Docker 服 务 。 首 先 创建 一 个 网 络 : 


$ docker -H 192.168.0.2:12375 network create swarm network 


查看 网 络 ， 将 看 到 一 个 overlay 类 型 的 网 络 : 


$ docker -H 192.168.0.2:12375 network ls 
NETWORK ID NAME, DRIVER 
6edf2d16ec97 swarm network overlay 


此 时 ， 所 有 添加 到 这 个 网 络 上 的 容器 将 自动 被 分 配 到 集群 中 的 节点 上 ， 并 且 彼此 联通 。 


25.4 ”使 用 其 他 服务 发 现 后 端 


Swarm 目前 可 以 支持 多 种 服务 发 现 后 端 ， 这 些 后 端 在 功能 上 都 是 一 致 的 ， 即 维护 属于 某 个 集群 的 节点 信息 。 


己 定制 其 他 方案 。 


使 用 中 可 以 通过 不 同 的 路 径 来 选择 特定 的 服务 发 现 后 端 机 制 : 

“ token://<token>: 使 用 Docker Hub 提 供 的 服务 ， 适 用 于 可 以 访问 公 网 的 情况 ; 
' file://path/to/file: 使 用 本 地 文件 ， 需 要 手动 管理 ; 

consul://<ip>/<path>: 使 用 Consul 服 务 ， 私 有 环境 推荐 ; 
etcd://<ip1>,<ip2>/<path>: 使 用 Etcd 服 务 ， 私 有 环境 推荐 ; 

“中 ://<ip1>,<ip2>/<path>: 使 用 ZooKeeper 服 务 ， 私 有 环境 推荐 ; 

“ [nodes://]<ip1>,<ip2>: 手动 指定 集群 中 节点 的 地 址 ， 方 便 进 行 服务 测试 。 


1. 使 用 文件 


不 同 的 方案 并 无 优 劣 之 分 ， 在 实际 使 


首先 ， 在 Swarm 管理 节点 (192.168.0.2) 上 新 建 一 个 文件 ， 把 要 加 入 集群 的 机 器 的 Docker daemon 信 息 写 入 文件 : 


时 ， 可 以 结合 自 


身 需求 和 环境 限制 进行 选择 ， 甚 至 


使 用 本 地 文件 的 方式 十 分 简单 ， 就 是 将 所 有 属于 某 个 集群 的 节点 的 Docker daemon 信 息 写 入 一 个 文件 中 ， 然 后 让 manager 从 这 个 文件 中 直接 读 取 相关 信息 。 


$ tee /tmp/cluster info <<-'EOF' 
192.168.0.2:2375 
192.168.0.3:2375 

EOF 


然后 ， 本 地 执行 swarm manage 命 令 ， 并 指定 服务 发 现 机 制 为 本 地 文件 。 注 意 ， 因 为 是 容器 方式 运行 manager， 需 要 将 本 地 文件 挂 载 到 容器 内 : 


$ docker run -d -p 12375:2375 -V /tmp/cluster info:/tmp/cluster info swarm 
manage file:///tmp/cluster info 


接 下 来 就 可 以 通过 使 用 Swarm 服务 来 进行 管理 了 ， 例 如 使 用 info 查 看 所 有 节点 的 信息 : 


$ docker -H 192.168.0.2:12375 info 
Containers: 18 
Images: 36 
Role: primary 
Strategy: spread 
Filters: health, port, dependency, affinity, constraint 
Nodes: 2 
Host=l: 192.168:0.2:2375 
上 Containers: 15 
上 Reserved CPUs: 0 / 4 
| Reserved Memory: 1 GiB / 4.053 GiB 
- Labels: executiondriver=native-0.2, kernelversion=3.16.0-43-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
Host=2: 192.168.0.332375 
~ Containers: 3 
上- Reserved CPUs: 0 / 8 
L Reserved Memory: 0 B / 16.46 GiB 
上- Labels: executiondriver=native-0.2, kernelversion=3.16.0-30-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
CPUs; 12 
Total Memory: 20.51 GiB 
Name: e7leb5f1d48b 


2. 其 他 发 现 服务 后 端 


其 他 服务 发 现 后 端的 使 用 方法 也 是 大 同 小 异 ， 不 同 之 处 在 于 使 用 Swarm 命令 时 指定 的 路 径 格式 不 同 。 


例如 ， 对 于 前 面 介绍 的 Consul 服 务 后 端 来 说 ， 快 速 部 署 一 个 Consul 服 务 的 命令 为 : 


$ docker run -d -p 8500:8500 --name=consul progrium/consul -server -bootstrap 


之 后 创建 Swarm 的 管理 服务 ， 指 定 使 用 Consul 服 务 ， 管 理 端口 监听 在 本 地 的 4000 端 口 : 


$ docker run -d -p 4000:4000 swarm manage -H :4000 --replication --advertise 
<manager ip>:4000 consul://<consul ip>:8500 


Swarm 节点 注册 时 的 命令 格式 类 似 于 : 


$ swarm join --advertise=<node ip:2375> consul://<consul addr>/<optional Path prefix> 


对 于 Etcd 服 务 后 端 来 说 ， 节 点 注册 时 的 命令 格式 类 似 于 : 


$ swarm join --addr=<node addr:2375> etcd://<etcd addr1>, <etcd addr2>/<optional 
path prefix> 


启动 管理 服务 时 ,格式 类 似 于 : 


$ swarm manage -H tcp://<manager ip>:4000 etcd://<etcd addr1>,<etcd agddr2>/ 
<optional path prefix> 


3. 地 址 和 端口 的 范围 匹配 


对 于 基于 文件 和 手动 指定 节点 信息 两 种 服务 发 现 后 端 机 制 来 说 ， 其 中 地 址 和 端口 域 可 以 支持 指定 一 个 范围 ， 以 一 次 性 指定 多 个 地 址 。 例 如 : 


192.168.0.[2:10]:2375 代 表 192.168.0.2:2375~192.168.0.10:2375 一 共 9 个 地 址 ; 


192.168.0.2:[2:9]375 代 表 192.168.0.2:2375~192.168.0.2:9375 一 共 8 个 地 址 。 


25.5” Swarm 中 的 调度 器 


调度 是 集群 十 分 重要 的 功能 ，Swarm 目 前 支持 三 种 调度 策略 : spread、binpack 和 random。 


在 执行 swarm manage 命 令 启 动 管理 服务 的 时 候 ， 可 以 通过 --strategy 参 数 指定 调度 策略 ， 默 认 的 是 spread。 
简单 来 说 ， 这 三 种 调度 策略 的 优化 目标 如 下 : 
“ spread: 如 果 节 点 配置 相同 ， 选 择 一 个 正在 运行 的 容器 数量 最 少 的 那个 节点 ， 即 尽量 平 摊 容 器 到 各 个 节点 ; 


“binpack: 跟 spread 相 反 ， 尽 可 能 地 把 所 有 的 容器 放 在 一 台 节 点 上 运行 ， 即 尽量 少 用 节点 ， 避 免 容器 碎片 化 。 


地 


“ random: 直接 随机 分 配 ， 不 考虑 集群 中 节点 的 状态 ， 方 便 进 行 测试 使 用 。 
下 面 介绍 前 两 种 策略 。 

1.spread 调 度 策略 

仍然 以 之 前 创建 好 的 集群 为 例 ， 来 演示 spread 策 略 的 行为 。 


在 192.168.0.2 节 点 启动 管理 服务 ， 管 理 token: /946d65606f7c2f49766e4dddac5b4365 的 集群 。 


$ docker run -d -p 12375:2375 swarm manage --strategy "spread" token://946d6560 
6f7c2f49766e4ddqdac5b4365 
c6f25e6e6abbe45c8bcf75ac674f2b64d5f31a5c6070d64ba954a0309b197930 


列 出 集群 中 的 节点 : 


$ docker run --rm swarm list token://946d65606f7c2£49766e4dddac5b4365 
192.168.0.3:2375 
192.168.0.2:2375 


此 时 ， 两 个 节点 上 除了 Swarm 外 都 没有 运行 其 他 容器 。 启 动 一 个 ubuntu 容器 : 


$ docker -H 192.168.0.2:12375 run -d ubuntu:14.04 ping 127.0.0.1 
bac3dfda5306181140fc959969d738549d607bc598390f57bdd432d86f16f069 


查看 发 现 它 实际 上 被 调度 到 了 192.168.0.3 节 点 ( 当 节 点 配置 相同 时 ， 初 始 节点 随机 选择 ) 。 


再 次 启动 一 个 ubuntu 容器 : 


$ docker -H 192.168.0.2:12375 run -d ubuntu:14.04 ping 127.0.0.1 
8247067ba3a31e0cb692a8373405£95920a10389ce3c2a07091408281695281c 


查看 它 的 位 置 ， 发 现 被 调度 到 了 另外 一 个 节点 : 192.168.0.2 上 : 


$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

8247067ba3a3 ubuntu:14.04 "ping 127.0.0.1"” 1 minutes ago Up 1 minutes 
Host-2/sick galileo 

bac3dfda5306 ubuntu:14.04 "ping 127.0.0.1" 2 minutes ago Up 2 minutes 
Host-3/compassionate ritchie 


当 节 点 配置 不 同 的 时 候 ，spread 会 更 愿意 分 配 到 配置 较 高 的 节点 上 。 
2.binpack 调 度 策略 


现在 来 看 看 binpack 策 略 下 的 情况 。 直 接 启动 若干 ubuntu 容器 ， 并 查看 它们 的 位 置 : 


$ docker -H 192.168.0.2:12375 run -d ubuntu:14.04 ping 127.0.0.1 

$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

4c4f45eba866 ubuntu:14.04 piling T12730.081* 3 minutes ago Up 3 minutes 
Host-3/hopeful brown 

5e650541233c ubuntu:14.04 "ping 127 IT 3 minutes ago Up 3 minutes 
Host-3/pensive wright 

99c5a092530a ubuntu:14.04 "eing 127,0,.0L™ 3 minutes ago Up 3 minutes 
Host-3/naughty engelbart 

4ab392c26eb2 ubuntu:14.04 piling T27400aTs 3 minutes ago Up 3 minutes 
Host-3/thirsty mclean 


可 以 看 到 ， 所 有 的 容器 都 是 分 布 在 同一 个 节点 (192.168.0.3) 上 运行 的 。 


25.6 ”Swarm 中 的 过 滤器 


Swarm 的 调度 器 可 以 按照 指定 调度 策略 自动 分 配 容器 到 节点 ， 但 有 些 时 候 希 望 能 对 这 些 分 配 加 以 干预 。 比 如 ， 让 I/O 敏 感 的 容器 分 配 到 安装 了 SSD 的 节点 上 ; 让 计算 敏感 的 容器 分 配 到 CPU 核 数 多 的 机 
器 上 ; 让 网 络 敏 感 的 容器 分 配 到 高 带宽 的 机 房 ， 让 某 些 容器 尽量 放 同一 个 节点 上 ， 等 等 。 
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这 可 以 通过 过 滤器 (filter) 来 实现 ， 目 前 支持 五 种 过 滤器 : Constraint、Affinity、Port、Dependency、Health。 下 


1.Constraint 过 滤器 


Constraint 过 滤器 是 绑 定 到 节点 的 键 值 对 ， 相 当 于 给 节点 添加 标签 。 可 在 启动 Docker 服 务 的 时 候 指定 ， 例 如 指定 某 个 节点 颜色 为 red: 


$ sudo docker daemon --label color=red -H tcp://0.0.0.0:2375 -HB unix:///var/run/ 
docker .sock 


同样 ， 可 以 写 在 Docker 服 务 的 配置 文件 里 面 (以 Ubuntu 14.04 为 例 ， 是 /etc/default/docker) : 


DOCKER OPTS="--label color=red -H 0.0.0.0:2375 -H unix:///var/run/docker.sock" 


使 用 Swarm 启动 容器 的 时 候 ， 采 用 -e constarint: key=value 的 形式 ， 可 以 过 滤 选择 出 匹配 条 件 的 节点 。 


例如 ， 我 们 将 192.168.0.2 节 点 打上 红色 标签 ，192.168.0.3 节 点 打上 绿色 标签 。 然 后 ， 分 别 启动 两 个 容器 ， 指 定 使 用 过 滤器 分 别 为 红色 和 绿色 : 


$ docker -H 192.168.0.2:12375 run -d -~e constraint:color==red ubuntu:14.04 ping 
L200.1 

252ffb48e64e9858c72241f5eedf6a3e4571b1lad926faf091db3e26672370f64 

$ docker -H 192.168.0.2:12375 run -d -e constraint:color==green Ubuntu:14.04 ping 
T1270aDal 

3d6f8d7af8583416b170614038545240c9e5c3be7067935d3ef2fbddce4b8136 


@ 注 总 
指定 标签 中 间 是 两 个 等 号 。 


查看 它们 将 被 分 配 到 指定 节点 上 : 


$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

252ffb48e64e ubuntu:14.04 "ping 127.0.0.1" 1 minutes ago Up 1 minutes 
Host-2/sick galileo 

3d6f8d7af858 ubuntu:14.04 "ping 127.0.0.1" 2 minutes ago Up 2 minutes 
Host-3/compassionate ritchie 


另外 ，Docker 内 置 了 一 些 常见 的 过 滤器 ， 包 括 node、storagedriver、executiondriver、kernelversion、operatingsystem 等 。 这 些 值 可 以 通过 docker info 命 令 查看 。 


例如 ， 目 前 集群 中 各 个 节点 的 信息 为 : 


$ docker -H 192.168.0.2:12375 info 
Containers: 5 


Images: 39 

Role: Primary 

Strategy: Spread 

Filters: health, port, dependency, affinity, constraint 
Nodes: 2 


Reserved CPUs: 0 / 4 
Reserved Memory: 1 GiB / 4.053 GiB 
Labels: color=red, executiondriver=native-0.2, kernelversion=3.16.0-43-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
Host-3: 192.168.0.3:2375 
~ Containers; 1 
上- Reserved CPUs: 0 / 8 
- Reserved Memory: 0 B / 16.46 GiB 
- Labels: color=green, executiondriver=native-0.2, kernelversion=3.16.0-30-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
CPUs;: 12 
Total Memory: 20.51 GiB 
Name: 946d65606f7c 


2.Affinity 过 滤器 
Affinity 过 滤器 允许 用 户 在 启动 一 个 容器 的 时 候 ， 让 它 分 配 到 某 个 已 有 容器 的 节点 上 。 


例如 ， 下 面 我 们 将 启动 一 个 nginx 容 器 ， 让 它 分 配 到 已 经 运行 某 个 ubuntu 容器 的 节点 上 。 


在 Constraint 过 滤器 的 示例 中 ， 我 们 分 别 启 动 了 两 个 ubuntu 容器 sick_galileo 和 compassionate ritchie， 分 别 在 Host-2 和 Host-3 上 。 


现在 启动 一 个 nginx 容 器 ， 让 它 与 容器 sick_galileo 放 在 一 起 ， 都 放 到 Host-2 节 点 上 。 可 以 通过 -e affinity: container==<name or id> 参 数 来 实现 : 


$ docker -HB 192.168.0.2:12375 run -d -~e affinity:container==sick galileo nginx 


然后 启动 一 个 redis 容 器 ， 让 它 与 容器 compassionate ritchie 放 在 一 起 ， 都 放 到 Host-3 节 点 上 : 


$ docker -HB 192.168.0.2:12375 run -d -~e affinity:container==compassionate_ 
ritchie redis 


查看 所 有 容器 的 运行 情况 ， 如 下 所 示 : 


$ docker -H 192.168.0.2:12375 ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS 
PORTS NAMES 
0a32f15aa8ee redis "Ventrypoint .sh redis" 2 seconds ago 
Up 1 seconds 6379/tcp Host-3/awesome darwin 
d2b9a53e67d5 nginx "nginx -g 'daemon off" 29 seconds ago 
Up 28 seconds 80/tcp, 443/tcp Host-2/fervent wilson 
252ffb48e64e ubuntu:14.04 "ping 127.0.0.1" 2 minutes ago 
Up 2 minutes Host-2/sick galileo 
3d6f8d7af858 Ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago 
Up 3 minutes Host-3/compassionate ritchie 
3. 其 他 过 滤器 


其 他 过 滤器 的 使 用 方法 也 是 大 同 小 异 ， 例 如 通过 -e affinity: image==<name or id> 来 选择 拥有 指定 镜像 的 节点 ， 通 过 -e affinity: label_name==value 来 选择 拥有 指定 标签 的 容器 所 允许 的 节点 
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此 外 ， 当 容器 端口 需要 映射 到 宿主 机 指定 端口 号 的 时 候 ，Swarm 也 会 自动 将 容器 分 配 到 指定 宿主 机 端口 可 用 的 节点 。 


当 不 同 容器 之 间 存 在 数据 卷 或 链接 依赖 的 时 候 ，Swarm 会 将 这 些 容器 分 配 到 同一 个 节点 上 。 


25.7 本 章 小 结 


本 章 介绍 了 Docker Swarm 的 安装 、 使 用 和 主要 功能 。 通 过 使 用 Swarm， 
地 迁移 到 Swarm 上 来 。 
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后 纪 当 作 一 个 大 的 虚拟 Docker 主 机 使 用 。 并 且 ， 原 先 基 于 单机 的 Docker 应 用 可 以 无 颖 


实现 这 些 功 能 的 前 提 是 服务 自动 发 现 能 力 。 在 现代 分 布 式 系统 中 ， 服 务 的 自动 发 现 、 注 册 、 更 新 等 能 力 将 成 为 系统 的 基本 保障 和 重要 基础 。 在 生产 环境 中 ，Swarm 的 管理 节点 和 发 现 服务 后 端 要 采用 高 
可 用 性 的 保护 ， 可 以 采用 集群 模式 。 


值得 一 提 的 是 ，Swarm V2 功 能 已 经 被 无 颖 嵌入 到 了 Docker 1.12+ 版 本 中 ， 用 户 今后 可 以 直接 使 用 Docker 命 令 来 完成 相关 功能 的 配置 ， 这 将 使 得 集群 功能 的 管理 更 加 简便 。 


第 26 章 ”Mesos 一 一 优秀 的 集群 资源 调度 平台 


Mesos 项 目 是 源 自 UC Berkeley 对 集群 资源 进行 抽象 和 管理 的 开源 项 目 ， 类 似 于 操作 系统 内 核 ， 用 户 可 以 使 用 它 很 容易 地 实现 分 布 式 应 用 的 自动 化 调度 。 同 时 ，Mesos 自 身 也 很 好 地 结合 了 Docker 等 相 
关 容 器 技术 ， 基 于 Mesos 已 有 的 大 量 应 用 框架 ,可 以 实现 用 户 应 用 的 快速 上 线 。 


本 章 将 介绍 Mesos 项 目的 安装 、 使 用 、 配 置 以 及 核心 的 原理 知识 。 


26.1 简介 


Mesos 最 初 由 UC Berkeley 的 AMP 实 验 室 于 2009 年 发 起 ， 遵 循 Apache 协 议 ， 目 前 已 经 成 立 了 Mesosphere 公 司 进行 运营 。Mesos 可 以 将 整个 数据 中 心 的 资源 (包括 CPU、 内 存 、 存 储 、 网 络 等 ) 进行 
抽象 和 调度 ， 使 得 多 个 应 用 同时 运行 在 集群 中 分 享 资源 ， 并 无 需 关 心 资源 的 物理 分 布 情况 。 


如 果 把 数据 中 心中 的 集群 资源 看 做 一 台 服务 器 ， 那 么 Mesos 要 做 的 事情 ， 其 实 就 是 今天 操作 系统 内 核 的 职责 : “抽象 资源 + 调度 任务 ”。 


Mesos 项 目 主要 由 C++ 语言 编写 ， 项 目 官方 地 址 为 http:/Wmesos.apache.org， 代 码 仍 在 快速 演化 中 ， 已 经 发 布 了 正式 版 1.0.0 版 本 。 


Mesos 拥 有 许多 引 人 注 目的 特性 ， 包 括 : 

:支持 数 万 个 节点 的 大 规模 场景 (Apple、Twitter、eBay 等 公司 的 实践 ) 。 
“支持 多 种 应 用 框架 ， 包 括 Marathon、Singularity、Aurora 等 。 

:支持 HA (基于 ZooKeeper 实 现 ) 。 

“ 支持 Docker、LXC 等 容器 机 制 进行 任务 隔离 。 

“ 提供 了 多 个 流行 语言 的 API， 包 括 Python、Java、C++ 等 。 


' 自 带 了 简洁 易 用 的 WebUI， 方 便 用 户 直 接 进行 操作 。 


值得 注意 的 是 ，Mesos 自 身 只 是 一 个 资源 抽象 的 平台 ， 要 使 用 它 往往 需要 结合 运行 其 上 的 分 布 式 应 用 (在 Mesos 中 被 称 作 框架 ，framework) ， 比 如 Hadoop、Spark、Marathon、Elasticsecrrch 等 


大 部 


26; 


进程 管理 器 来 自动 保持 服务 的 运行 。 


分 时 候 ， 用 户 只 需要 跟 这 些 框架 打交道 即 可 ， 完 全 无 需 关 心底 下 的 资源 调度 情况 ， 因 为 Mesos 已 经 自动 帮 你 实现 了 。 这 大 大 方便 了 上 层 应 用 的 开发 和 运 维 。 


当然 ， 用 户 也 可 以 基于 Mesos 打 造 自己 的 分 布 式 应 用 框架 。 


2 Mesos 安装 与 使 用 


以 Mesos 结 合 Marathon 应 用 框架 为 例 ， 看 一 下 如 何 快速 搭建 一 套 Mesos 平 台 。 


Marathon 是 可 以 跟 Mesos 一 起 协作 的 一 个 framework， 基 于 Scala 实 现 ， 可 以 实现 保持 应 用 的 持续 运行 。 


另外 ，Mesos 默 认 利用 ZooKeeper 来 进行 多 个 主 节点 之 间 的 选举 ， 以 及 从 节点 发 现 主 节点 的 过 程 。 一 般 在 生产 环境 中 ， 需 要 启动 多 个 Mesos master 服 务 (推荐 3 或 5 个 ) ， 并 且 推 荐 使 用 supervisord 等 


ZooKeeper 是 一 个 分 布 式 集群 中 信息 同步 的 工具 ， 通 过 自动 在 多 个 节点 中 选举 leader， 保 障 多 个 节点 之 间 的 某 些 信息 保持 一 致 性 。 


1. 安 装 


安装 时 主要 需要 mesos、zookeeper 和 marathon 三 个 软件 包 。 


Mesos 也 采用 了 经 典 的 “ 主 -从 ”结构 ， 一 般 包 括 若干 主 节点 和 大 量 从 节点 。 其 中 ，mesos master 服 务 和 zookeeper 需 要 部 署 到 所 有 的 主 节点 ，mesos slave 服 务 需要 部 署 到 所 有 从 节点 。marathon 可 


以 部 署 到 主 节点 。 


安装 可 以 通过 源码 编译 、 软 件 源 或 者 Docker 镜 像 方式 进行 ， 下 面 分 别 进行 介绍 。 


(1) 源码 编译 方式 
源码 编译 方式 可 以 保障 获取 到 最 新 版 本 ， 但 编译 过 程 比较 费时 间 。 


首先 ， 从 apache.org 开 源 网 站 下 载 最 新 的 源码 : 


$ git clone https://git-wip-us.apache.org/repos/asf/mesos.git 


其 中 ， 主 要 代码 在 src 目 录 下 ， 应 用 框架 代码 在 frameworks 目 录 下 ， 文 档 在 docs 目 录 下 ，include 中 包括 了 跟 Mesos 打 交道 使 用 的 一 些 API 定 义 头 文件 。 


安装 依赖 主要 包括 Java 运 行 环境 、Linux 上 的 自动 编译 环境 等 : 


$ sudo apt-get update 

$ sudo apt-get install -y openjdk-8-jdk autoconf libtool \ 
build-essential python-dev python-boto libcurl4-nss-dev \ 
libsasl2-dev maven libaprl-dev libsvn-dev 


后 面 就 是 常规 C++ 项 目的 方法 ， 配 置 之 后 利用 Makefile 进 行 编译 和 安装 : 


$ cd mesos 

$ ./bootstrap 

$ mkdir build 

$ cd build && http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/../configure --with-network-isolator 
$ make 

$ make check && sudo make install 


(2) 软件 源 安装 方式 
通过 软件 源 方式 进行 安装 相对 会 省 时 间 ， 但 往往 不 是 最 新 版 本 。 


这 里 以 Ubuntu 系统 为 例 ， 首 先 添加 软件 源 地 址 : 


$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv E56151BF 

$ DISTRO=$ (lsb release -is | tr '[:upper:]' '[:lower:]') 

$ CODENAME=$ (lsb_release -cs) 

$ echo "deb http://repos.mesosphere.io/${DISTRO} ${CODENAME} main" | \ 
sudo tee /etc/apt/sources.list.d/mesosphere.1ist 


刷新 本 地 软件 仓库 信息 并 安装 zookeeper、mesos、marathon 三 个 软件 包 : 


$ sudo apt-get -~y update && sudo apt-get -~y install zookeeper mesos marathon 


注意 ，Marathon 最 新 版 本 需要 jdk 1.8+ 的 支持 。 如 果 系 统 中 有 多 个 Java 版 本 ， 需 要 检查 配置 默认 的 JDK 版 本 符合 要 求 : 


$ sudo update-alternatives --config java 


安装 Mesos 成 功 后 ,会 在 /usr/sbin/ 下 面 发 现 mesos-master 和 mesos-slave 两 个 二 进 制 文件 ， 分 别 对 应 主 节点 上 需要 运行 的 管理 服务 和 从 节点 上 需要 运行 的 任务 服务 。 


可 以 手动 运行 二 进 制 文件 启动 服务 ， 也 可 以 通过 service 命 令 来 方便 进行 管理 。 


例如 ， 在 主 节点 上 重启 mesos 管 理 服务 : 


$ sudo service mesos-master restart 


通过 service 命 令 来 管理 ， 实 际 上 是 通过 调用 /usr/bin/mesos-init-wrapper 脚 本 文件 进行 处 理 。 


(3) 基于 Docker 的 方式 
需要 如 下 三 个 镜像 。 
* ZooKeeper: https://registry.hub.docker.com/u/garland/zookeeper/。 
* Mesos: https://registry.hub.docker.com/u/garland/mesosphere-docker-mesos-master/。 


* Marathon: https://registry.hub.docker.com/u/garland/mesosphere-docker-marathon/。 


其 中 mesos-master 镜 像 在 后 面 将 分 别 作为 master 和 slave 角 色 进 行使 用 。 


首先 ， 拉 取 三 个 镜像 : 


$ docker pull garland/zookeeper 
$ docker pull garland/mesosphere-docker-mesos-master 
$ docker pull garland/mesosphere-docker-marathon 


导出 主 节点 机 器 的 地 址 到 环境 变量 : 


$ HOST IP=10.0.0.2 


在 主 节 点 上 启动 zookeepr 容 器 : 


docker run -d \ 
-p 2181:2181 \ 
-p 2888:2888 \ 
-p 3888:3888 \ 
garland/zookeeper 


在 主 节 点 上 启动 mesos-master 服 务 容器 : 


docker run --net="host" \ 

-p 5050:5050 \ 

-e "MESOS HOSTNAME=$ {HOST IP}" \ 

-e "MESOS_ IP=${HOST IP}" \ 

-e "MESOS ZK=zk://${HOST IP}:2181/mesos" \ 
-e "MESOS PORT=5050" \ 一 

-e "MESOS_ LOG DIR=/var/10g/mesos" \ 
-e "MESOS QUORUM=1" \ 

-e "MESOS REGISTRY=in memory" \ 

-e "MESOS WORK DIR=/var/lib/mesos" \ 
-d\ 
garland/mesosphere-docker-mesos-master 


在 主 节 点 上 启动 Marathon: 


docker run \ 

-dy 

-p 8080:8080 \ 

garland/mesosphere-docker-marathon --master zk://${HOST IP}:2181/mesos --zk 
Zk://${HOST_IP}:2181/marathon 


在 从 节点 上 启动 mesos slave 容 器 : 


docker run -d \ 

--name mesos_slave 1 \ 
—-entrypoint="mesos-slave" \ 

-e "MESOS MASTER=zk://${HOST IP}:2181/mesos" \ 
-e "MESOS LOG DIR=/var/log/mesos" \ 

-e "MESOS LOGGING LEVEL=INFO" \ 
garland/mesosphere-docker-mesos-master:latest 


接 下 来 ， 可 以 通过 访问 本 地 8080 端 口 来 使 用 Marathon 启 动 任务 了 。 


2. 配 置 说 明 
下 面 以 本 地 通过 软件 源 方式 安装 为 例 ， 解 释 如 何 修改 各 个 配置 文件 。 


(1) ZooKeepr 


ZooKeepr 是 一 个 分 布 式 应 用 的 协调 工具 ， 用 来 管理 多 个 主 节 点 的 选举 和 宛 余 ， 监 听 在 2181 端 口 ， 推 荐 至 少 布置 三 个 主 节点 来 由 ZooKeeper 维 护 。 


配置 文件 默认 都 在 /etc/zookeeperconf/ 目 录 下 。 比 较 关键 的 配置 文件 有 两 个 : myid 和 zoo.cfg。myid 文 件 会 记录 加 入 ZooKeeper 集 群 的 节点 的 序号 (1~255 之 间 ) 。 
/Var/lib/zookeeper/myid 文 件 其 实 也 是 软 连 接 到 了 该 文件 。 


比如 配置 某 节点 序号 为 1， 则 需要 在 该 节点 上 执行 : 


$ echo 1 | sudo dd of=/etc/zookeeper/conf/myid 


节点 序号 在 ZooKeeper 集 群 中 必须 唯一 ， 不 能 出 现 多 个 拥有 相同 序号 的 节点 。 


另外 ， 需 要 修改 zoo.cfg 文 件 ， 该 文件 是 主 配置 文件 ， 主 要 需要 添加 上 加 入 ZooKeeper 集 群 中 机 器 的 序号 和 对 应 监听 地 址 。 


例如 ， 现 在 ZooKeeper 集 群 中 有 三 个 节点 ， 地 址 分 别 为 10.0.0.2、10.0.0.3、10.0.0.4， 序 号 分 别 配置 为 2、3、4。 则 配置 如 下 的 三 行 : 


server.2=10.0.0. 
server.3=10.0.0. 
server.4=10.0.0. 


2:2888:3888 
3:2888:3888 
4:2888:3888 


其 中 第 一 个 端口 2888 负 责 从 节点 连接 到 主 节点 ; 第 二 个 端口 3888 则 负责 主 节点 进行 选举 时 候 通信 。 


也 可 以 用 主机 名 形式 ， 则 需要 各 个 节点 /etc/hosts 文 件 中 都 记录 地 址 到 主机 名 对 应 的 映射 关系 。 


完成 配置 后 ， 启 动 ZooKeeper 服 务 : 


$ sudo service zookeeper start 


(2) Mesos 


Mesos 的 默认 配置 目录 有 三 个 : 


' /etc/mesos/: 主 节点 和 从 节点 都 会 读 取 的 配置 文件 ， 最 关键 的 是 zk 文件 存放 主 节 点 的 信息 ; 


“ /etc/mesos-master/ : 只 有 主 节点 会 读 取 的 配置 ， 等 价 于 启动 mesos-mastet 命 令 时 候 的 默认 选项 ; 


“ /etc/mesos-slave/: 只 有 从 节点 会 读 取 的 配置 ， 等 价 于 启动 mesos-mastet 命 令 时 候 的 默认 选项 。 


最 关键 的 是 需要 在 所 有 节点 上 修改 /etc/mesos/zk， 写 入 主 节点 集群 的 ZooKeeper 地 址 列表 ， 例 如 : 


zk://10.0.0.2:2181,10.0.0.3:2181,10.0.0.4:2181/mesos 


此 外 ，/etc/default/mesos、/etc/default/mesos-master、/etc/default/mesos-slave 这 三 个 文件 中 可 以 存放 一 些 环境 变量 定义 ，Mesos 服 务 启动 之 前 ,会 将 这 些 环境 变量 导入 作为 启动 参数 。 格 式 
为 MESOS OPTION_NAME。 


下 面 分 别 说 明 在 3 


节点 和 从 节点 上 的 配置 。 


主 节点 配置 : 一 般 只 需要 关注 /etc/mesos-master/ 目 录 下 的 文件 。 默 认 情况 目录 下 为 空 。 


该 目录 下 文件 命名 和 内 容 需 要 跟 mesos-master 支 持 的 命令 行 选项 一 一 对 应 。 可 以 通过 mesos-master--help 命 令 查看 支持 的 选项 。 


例如 某 个 文件 key 中 内 容 为 value， 则 在 mesos-master 服 务 启动 的 时 候 ， 动 添加 参数 --key=value 给 二 进 制 命令 。 


例如 ，mesos-master 服 务 默认 监听 在 loopback 端 口 ， 即 127.0.0.1: 5050， 我 们 需要 修改 主 节 点 监听 的 地 址 ， 则 可 以 创建 /etc/mesos-master/ip 文 件 ， 在 其 中 写 入 主 节点 监听 的 外 部 地 址 。 


为 了 正常 启动 mesos-master 服 务 ， 还 需要 指定 Work_dir 参 数 (表示 应 用 框架 的 工作 目录 ) 的 值 ， 可 以 通过 创建 /etc/mesos-master/work_dir 文 件 ， 在 其 中 写 入 
下 会 生成 一 个 replicated_log 目 录 ， 会 存 有 各 种 同步 状态 的 持久 化 信息 。 以 及 指定 quorum 参 数 的 值 ， 该 参数 用 来 表示 ZooKeeper 集 群 中 要 求 最少 参 加 表决 的 节点 数目 。 


点 个 数 的 半数 多 一 些 


(比如 三 个 节点 的 话 ， 可 以 配置 为 2) 。 


此 外 ， 要 修改 Mesos 集 群 的 名 称 ， 可 以 创建 /etc/mesos-master/cluster 文 件 ， 在 其 中 写 入 集群 的 别名 ， 例 如 MesosCluster。 


总 结 一 下 ， 建 议 在 /etc/mesos-master 目 录 下 ， 配 置 至 少 四 个 参数 文件 : ip、quorum、work_dir、cluster。 


修改 配置 之 后 ， 需 要 启动 服务 即 可 生效 : 


录 ,， 例如 /var/lib/mesos。 工 作 目 录 
一 般 设 置 为 比 ZooKeeper 集 群 中 节 


$ sudo service mesos-master start 


更 多 选项 可 以 参考 后 面 26.4 节 的 配置 项 解析 内 容 。 


主 节点 服务 启动 后 ， 则 可 以 在 从 节点 上 启动 mesos-slave 服 务 来 加 入 主 节点 的 管理 。 


从 节点 配置 : 一 般 只 需要 关注 /etc/mesos-slave/ 目 录 下 的 文件 。 默 认 情 况 下 目录 下 为 空 。 文 件 命名 和 内 容 也 是 跟 主 节点 类 似 ， 对 应 二 进 制 文 件 支持 的 命令 行 参数 。 


建议 在 从 节点 上 ,创建 /etc/mesos-slave/ip 文 件 ， 在 其 中 写 入 跟 主 节点 通信 的 地 址 。 


修改 配置 之 后 ， 也 需要 重新 启动 服务 : 


$ sudo service 


mesos-slave start 


(3) Marathon 


Marathon 作 为 Mesos 的 一 个 应 用 框架 ， 配 置 要 更 为 简单 ， 必 需 的 配置 项 有 --master 和 --zk。 


安装 完成 后 ， 会 在 /usr/bin 下 多 一 个 marathon shell 脚 本 ， 为 启动 marathon 服 务 时 候 执行 的 命令 。 


配置 目录 为 /etc/marathon/conf (需要 手动 创建 ) ， 此 外 默认 配置 文件 在 /etc/default/marathon。 


我 们 手动 创建 配置 目录 ， 并 添加 配置 项 (文件 命名 和 内 容 跟 Mesos 风 格 一 致 )， 让 Marathon 能 连接 到 已 创建 的 Mesos 集 群 中 : 


$ sudo mkdir -p /etc/marathon/conf 
$ sudo cp /etc/mesos/zk /etc/marathon/conf/master 


同时 ， 让 Marathon 也 将 自身 的 状态 信息 保存 到 ZooKeeper 中 。 创 建 /etc/marathon/conf/zk 文 件 ， 添 加 ZooKeeper 地 址 和 路 径 : 


ak://10.0.0.2:2181,10.0.0.2:2181; 10.0.0.2:2181/marathon 


启动 marathon 服 务 : 


$ sudo service marathon start 


3. 访 问 Mesos 图 形 界面 


Mesos 自 带 了 Web 图 形 界面 ， 可 以 方便 用 户 查 看 集群 状态 。 


户 在 Mesos 主 节点 服务 和 从 节点 服务 都 启动 后 ， 可 以 通过 浏览 器 访问 主 节点 5050 端 口 ， 看 到 如 图 26-1 所 示 的 界面 ， 已 经 有 两 个 从 节点 加 入 了 。 


Mesos Frameworks Slaves Offers MyCluster 


BEG 20150619-192346-1298446857-5050-14153 


Cluster: MyCluster Active Tasks 
Server 邮 丙 到 于 5050 


Version: 0.22 1 ID 


Name 


No active tasks. 


LOG Completed Tasks 
Slaves 


Activated 


ID Name 
No completed tasks 
Deactivated 


Tasks 
Staged 
Started 
Finished 
Killed 
Failed 
Lost 


Resources 


图 26-1 。 Mesos 界面 查看 加 入 的 从 节点 
通过 Slaves 标 签 页 能 看 到 加 入 集群 的 从 节点 信息 。 
如 果 没有 启动 marathon 服 务 ， 在 Frameworks 标 签 页 下 将 看 不 到 任何 内 容 。 


4 访问 Marathon 图 形 界面 


Marathon 服 务 启动 成 功 后 ， 在 Mesos 的 Web 界 面 的 Frameworks 标 签 页 下 面 将 能 看 到 名 称 为 marathon 的 框架 出 现 。 


同时 ， 可 以 通过 浏览 器 访问 8080 端 口 ， 看 到 Marathon 的 管理 界面 ， 如 图 26-2 所 示 。 


OY MARATHON ”Apps 


Memory (MB) Tasks /Instances Health 


Status 


16 入 111 i Running 


图 26-2 ”Marathon 图 形 管理 界面 


此 时 ， 可 以 通过 界面 或 者 REST API 来 创建 一 个 应 用 ，Marathon 会 保持 该 应 用 的 持续 运行 。 


通过 界面 方式 可 以 看 到 各 任务 支持 的 参数 (包括 资源 、 命 令 、 环 境 变量 、 健 康 检查 等 ) ， 同 时 可 以 很 容易 地 修改 任务 运行 实例 数 进行 扩展 


， 非 常 适合 进行 测试 ， 参 见 图 26-3。 


Edit Application 


Memory (MiB) Disk Space (MiB) Instances 


Command 


while [true ] ; do echo ‘Hello Marathon' ; sleep 5 ; 


> Docker container settings 
> Environment variables 
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Optional settings 


Change and deploy configuration Cancel 


26-3 ”在 Marathon 中 查看 任务 支持 的 参数 


如 果 要 更 自动 化 地 使 用 Marathon， 则 需要 通过 它 的 REST API 进 行 操作 。 


一 般 情况 下 ， 启 动 新 任务 需要 先 创建 一 个 定义 模板 JSON 格式 ) ， 然 后 发 到 指定 的 API。 


例如 ， 示 例 任务 basic-0 的 定义 模板 为 : 


TO77 
"cmd": "while [ true ] ; do echo 'Hello Marathon' ; sleep 5 ; done", 
Vg 


"instances": 1 


该 任务 申请 资源 为 0.1 个 单 核 CPU 资 源 和 10MB 的 内 存 资源 ， 具 体 命令 为 每 隔 五 秒 钟 用 shell 打 印 一 名 Hello Marathon。 


可 以 通过 如 下 命令 发 出 basic-0 任 务 到 Marathon 框 架 ， 框 架 会 分 配 任务 到 某 个 满足 条 件 的 从 节点 上 ， 成 功 会 返回 一 个 json 对 象 ， 描 述 任务 的 详细 信息 : 


$ curl -X POST http://marathon host:8080/v2/apps -d @basic-0.json -H "Content- 
e: application/json" 

{"id":"/basic-0", "cmd":"while [ true ] ; do echo 'Hello Marathon' ; sleep 5; 
done", "args":null, "user":null, "env":{},"instances":1,"cpus":0.1,"mem":10, 
"disk":0,"executor":"","constraints":[],"uris":[],"storeUrls":[],"ports": 
[0], "requirePorts":false,"backoffSeconds":1, "backoffFactor":1.15, "maxLaunch 
DelaySeconds":3600, "container":null, "healthChecks":[],"dependencies":[], 
"UpgradeStrategy":{"minimumHealthCapacity":1,"maximumOverCapacity":1}, 
"labels":{},"acceptedResourceRoles":null, "version":"2015-12-28T05:33:05.8052", 
"tasksStaged":0,"tasksRunning":0,"tasksHealthy":0,"tasksUnhealthy":0, 
"deployments": [{"id":"3ec3fbd5-1le4-479f-bd17-813d33e43e0c"}],"tasks":[]}% 


Marathon 的 更 多 REST API 可 以 参考 本 地 自 带 的 文档 : http://marathon_host: 8080/api-console/index.html。 


此 时 ， 如 果 运 行 任务 的 从 节点 出 现 故 障 ， 任 务 会 自动 在 其 他 可 用 的 从 节点 上 启动 。 


此 外 ， 目 前 也 已 经 支持 基于 Docker 容 器 的 任务 。 需 要 先 在 Mesos slave 节 点 上 为 slave 服 务 配置 --containerizers=docker，mesos 人 参数。 


例如 ， 如 下 面 的 示例 任务 : 


"vid": basic-3n7 
"cmd" : "Python3 -m http.server 8080", 
Cpus"s 957 


mmermn: 32.0, 
"container": { 
"type": "DOCKER", 
"volumes": [], 
"docker": { 
"image": "python:3", 
"network": "BRIDGE"， 
"portMappings": [ 
{ 


"containerPort": 8080, 
"hostPort": 31000, 
"servicePort": 0, 
"protocol™: "top™ 
} 
]， 
"privileged": false, 
"parameters": [], 
"forcePullImage": true 
} 
} 
} 


该 任务 启动 一 个 python: 3 容器 ,执行 python3-m http.server 8080 命 令 ， 作 为 一 个 简单 的 Web 服 务 ， 实 际 端口 会 映射 到 宿主 机 的 31000 端 口 。 


注意 区 分 hostPort 和 servicePort， 前 者 代表 任务 映射 到 本 地 可 用 端口 (可 用 范围 由 Mesos slave 汇 报 ， 默 认为 31000~32000) ; 后 者 作为 服务 管理 的 端口 ， 可 以 当做 一 些 服务 发 行 机 制 使 用 ， 进 行 转 
发 ， 在 整个 Marathon 集 群 中 是 唯一 的 。 


任务 执行 后 ， 也 可 以 在 对 应 slave 节 点 上 通过 Docker 命 令 查看 容器 运行 情况 ， 容 器 将 以 mesos-SLAVE ID 开头 : 


$ docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS 
PORTS NAMES 
1226b4ec8d7d python:3 "/bin/sh -c 'python3 " 3 days ago Up 3 days 


0.0.0.0:10000->8080/tcp mesos-06db0fba-49dc-4d28-ad87-6c2d5a020866- 
S10.b581149e-2c43-46a2-b652-1a0bc10204b3 


26.3 ”原理 与 架构 


首先 ， 需 要 再 次 强调 ，Mesos 自 身 只 是 一 个 资源 调度 框架 ， 并 非 一 整套 完整 的 应 用 管理 平台 ， 所 以 只 有 Mesos 自 己 是 不 能 干 活 的 。 但 是 基于 Mesos， 可 以 比较 容易 地 为 各 种 应 用 管理 框架 ， 或 者 为 中 间 
件 平台 (作为 Mesos 的 应 用 ) 提供 分 布 式 运行 能 力 ; 同时 ， 由 于 多 个 框架 也 可 以 同时 运行 在 一 个 Mesos 集 群 中 ， 提 高 了 整体 的 资源 使 用 效率 。 


Mesos 对 自己 的 定位 划分 清楚 ， 使 得 它 要 完成 的 任务 很 明确 ， 其 他 任务 框架 也 可 以 很 容易 地 与 它 进 行 整合 。 


26.3.1 架构 


图 26-4 基 本 架构 图 来 自 Mesos 官 方 。 
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图 26-4 Mesos 的 基本 架构 


a 


可 以 看 出 ，Mesos 采 用 了 经 典 的 “ 主 - 从 ” (master-slave) 架构 ， 其 中 主 节 点 (管理 节点 ) 可 以 使 用 ZooKeeper 来 做 HA (高 可 靠 性 ) 。Mesos master 服 务 将 运行 在 主 节点 上 ，Mesos slave 服 务 则 时 
要 运行 在 各 个 计算 任务 节点 上 。 负 责 完成 具体 任务 的 应 用 框架 (framwork) 跟 Mesos master 进 行 交互 ， 来 申请 资源 。 


26.3.2 ”基本 单元 


Mesos 中 有 三 个 


跟 大 部 分 分 布 式 系统 中 类 似 ， 主 节点 (master) 起 到 管理 作 
主 节点 提供 的 APl 来 获取 集群 状态 和 操作 集群 资源 。 


slave 负 责 汇报 本 从 节点 上 的 资源 状态 (空闲 资源 、 运 行 状 态 等 等 ) 给 


应 


' 调度 器 (scheduler) 


本 的 组 件 : 管理 服务 (master) 、 任 务 服务 (slave) 以 及 应 | 


框架 (framework) 。 


框架 (framework) 是 实际 干 活 的 ， 包 括 两 个 主要 组 件 : 


: 注册 到 主 节 点 ， 等 待 分 配 资源 ; 


' 执行 器 (executor) : 在 从 节点 上 执行 框架 指定 的 任务 (框架 也 可 以 使 用 Mesos 自 带 的 执行 器 ， 包 括 shell 脚 本 执行 器 和 Docker 执 行 器 ) 。 


应 


26.3.3 调度 


对 于 一 个 资源 调度 框架 来 说， 最 核心 的 就 是 调度 机 制 ， 


求 ， 实 现 最 大 化 的 资源 使 


框架 可 以 分 两 种 : 一 种 是 对 资源 的 需求 ， 是 会 扩 


Mesos 为 了 实现 尽量 优化 的 调度 ， 采 取 了 两 层 的 调度 算法 。 


1. 算 法 基本 过 程 


调度 的 基本 思路 很 简单 ， 
过 将 复杂 的 纪 


调度 机 制 支持 插件 机 
调度 通过 offer 发 送 


1) slave 节 点 会 周 其 


master 先 全 


制 来 实现 不 同 的 策略 。 默 认 是 Dominant Resource Fairness (DRF) [1], 


性 汇报 自己 可 用 的 资源 给 master; 


2) 某 个 时 候 ，master 收 到 应 


框架 发 来 的 资源 请 求 ， 根 据 调度 策 


3) framework 收 到 offer 后 可 


4) 最 后 ，master 风 


以 决定 要 不 


具体 给 出 一 个 例子 ， 某 从 节点 向 主 节 


， 如 果 接 受 的 话 ， 返 回 一 个 描述 ， 


局 调度 一 大 块 资源 给 某 个 framework，framework 
粒度 调度 交 由 framework 实 现 ， 避 免 了 Mesos master 成 为 性 能 瓶颈 。 


络 ， 计 算出 来 一 个 资源 offer 给 framework; 


己 再 实现 内 部 的 细 粒 度 调度 ， 决 定 哪个 任务 / 


， 将 看 到 全 局 的 信息 ， 负 责 不 同 应 用 框架 之 间 的 资源 调度 和 罗 辑 控制 。 应 用 框架 需要 注册 到 管理 服务 上 才能 被 使 用 。 用 户 和 应 用 需要 通过 
节点 ， 并 负责 隔离 本 地 资源 来 执行 主 节点 分 配 的 具体 任务 。 隔 离 机 制 目前 包括 各 种 容器 机 制 ， 包 括 LXC、Docker 等 。 
展 的 (如 Hadoop、Spark 等 ) ， 申 请 后 还 可 能 调整 ， 另 一 种 是 对 资源 需求 大 小 是 固定 的 (如 MPI 等 ) ， 一 次 申请 即 可 。 
怎么 能 快速 高 效 地 完成 对 某 个 应 用 框架 资源 的 分 配 ， 是 核心 竞争 力 所 在 。 最 理想 情况 下 (大 部 分 时 候 都 无 法 实现 ) ， 最 好 是 能 猜 到 应 用 的 实际 需 


多 少 资 源 。 两 层 调 度 简化 了 Mesos master 


身 的 调度 过 程 ， 通 


的 方式 进行 交互 。 一 个 offer 是 一 组 资源 ， 例 如 <1 CPU，2 GB Mem>。 基 本 调度 过 程 如 下 : 


说 明 


汇报 


Mem > 把 


足 的 资源 发 给 应 


框架 。 


应 


Mem>。 主 节点 收 到 任务 信息 后 分 配 任务 到 从 节点 上 进行 运行 


(实际 上 是 应 


应 


框架 在 收 到 offer 后 ， 如 果 offer 不 满足 


己 的 偏好 〈 例 如 希望 继续 使 有 


框架 的 执行 器 来 负责 执 


根据 framework 答 复 的 具体 分 配 情况 发 送 给 slave， 以 使 用 ramework 的 executor 来 按照 分 配 | 


己 希望 如 何 使 


和 分 配 这 些 资 源 来 运行 某 些 任务 (可 以 说 明 只 希望 使 有 


部 分 资源 ， 则 多 出 来 的 会 被 master 收 回 ) ; 


的 资源 策略 执行 任务 。 


自己 有 <4 CPU，8 GB Mem> 的 空闲 资源 ， 同 时 ， 主 节点 看 到 某 个 应 


框架 请 求 <3 CPU，6 GB Mem> ， 就 创建 一 个 offer<slave#1，4 CPU，8 GB 


框架 (的 调度 器 ) 收 到 offer 后 觉得 可 以 接受 ， 就 回复 主 节点 ， 并 告诉 主 节点 希 


上 次 的 slave 节 点 ) ， 则 可 以 选择 


望 运行 两 个 任务 : 一 个 占用 <1 CPU，2 GB Mem> ， 另 一 个 占用 <2 CPU，4 GB 
任务 运行 结束 后 可 将 资源 释放 出 来 。 剩 余 的 资源 还 可 以 继续 分 配给 其 他 应 用 框架 或 任务 。 


行 任务 ) 。 


下 绝 offer， 等 待 master 发 送 新 的 offer 过 来 。 另 外 ， 可 以 通过 过 滤器 机 制 来 加 快 资源 的 分 配 


framework 可 以 通过 过 滤器 机 制 告诉 master 它 的 资源 偏好 ， 比 如 希望 分 配 过 来 的 offer 有 哪个 资源 ， 或 者 至 少 有 多 少 资源 等 。 


过 滤器 可 以 避免 某 些 应 


4. 回 收 机 制 


回 


为 了 避免 某 些 任务 长 期 占 


主 节点 可 以 定期 


26.3.4 ”高 可 用 性 


从 架构 上 看 ， 最 为 核心 的 节点 是 master 节 点 。 除 了 使 


Mesos master 节 点 在 重启 后 ， 可 以 动态 通过 slave 和 framework 发 来 的 消息 


当然 ， 为 了 减少 master 节 点 的 负载 过 大 ， 在 集群 中 slave 节 点 数目 较 多 的 时 候 ， 要 避免 把 各 种 通知 的 周期 配 


集群 中 资源 ，Mesos 也 支持 回 


回收 计算 节点 上 的 任务 所 占 


收 机 制 。 


E 建 内 部 状态 ， 


资源 长 期 分 配 不 到 所 需要 的 资源 的 情况 ， 加 速 整 个 资源 分 配 的 交互 过 程 。 


的 资源 ， 可 以 动态 调整 长 期 任务 和 短期 任务 的 分 布 。 


ZooKeeper 来 解决 单 点 失效 问题 之 外 ，Mesos 的 master 节 点 自身 还 提供 了 很 高 的 鲁 棒 性 。 


虽然 可 能 导致 一 定 的 时 延 ， 但 这 避免 了 传统 控制 节点 对 数据 库 的 依赖 。 


得 过 短 。 在 实践 中 ， 可 以 通过 部 署 多 个 Mesos 集 群 来 保持 单个 集群 的 规模 不 要 过 大 。 


[1 DRF 算 法 细节 可 以 参考 论文 《Dominant Resource Fairness: Fair Allocation of Multiple Resource Types》， 其 核心 思想 是 对 不 同类 型 资源 进行 多 个 请 求 ， 计 算 请 求 的 主 资源 类 型 ， 然 后 根据 主 资 源 进 行 公平 分 


配 。 


26.4 ”Mesos 配 置 项 解析 


Mesos 支 持 在 运行 时 通过 命令 行 参 数 形式 提供 的 配置 项 。 如 果 是 通过 系统 服务 方式 启动 ， 也 支持 以 配置 文件 或 环境 变量 方式 给 出 。 当 然 ， 实 际 上 最 终 是 提取 为 命令 行 参数 传递 给 启动 命令 。 


Mesos 的 配置 项 分 为 三 种 类 型 : 通 上 


项 (master 和 slave 都 支持 ) 、master 专 


属 项 ， 以 及 slave 专 | 


属 项 。 


Mesos 配 置 项 比较 多 ， 下 面 对 一 些 重点 配置 进行 描述 。 少 数 为 必 备 项 ， 意 味 着 必须 给 出 配置 值 ; 另外 一 些 是 可 选 配 置 ， 自 己 带 有 默认 值 。 


26.4.1 通用 项 


通用 项 数量 不 多 ， 主 要 涉及 服务 绑 定 地 址 和 日 志 信息 等 ， 参 见 表 26-1。 


表 26-1 Mesos 配 置 通用 项 


配置 项 说 明 
--advertise ip=VALUE 可 以 通过 该 地 址 访问 到 服务 ， 比 如 应 用 框架 访问 到 master 节点 
--advertise _ Port=VALUE 可 以 通过 该 端口 访问 到 服务 
--external 1og file=VALUE 指定 存储 日 志 的 外 部 文件 ， 可 通过 Web 界面 查看 
__firewall rules-VALUE endpoint a pi VALUE 可 以 是 JSON 格式 或 者 存 有 JSON 格式 的 
--ip=VALUE 服务 绑 定 到 的 IP 地 址 ， 用 来 监听 外 面 过 来 的 请 求 
--l0og_ dir=VALUE 志文 件 路 径 ， 如 果 为 空 (默认 值 ) 则 不 存储 日 志 到 本 地 
--logbufsecs=VALUE buffer 多 少 秒 的 日 志 ， 然 后 写 人 本 地 
--logging level=VALUE 志 记 录 的 最 低级 别 
--port=VALUE 绑 定 监听 的 端口 ，master 默认 是 5050，slave 默认 是 5051 


26.4.2” master 专属 项 


这 些 配置 项 是 针对 主 节点 上 的 Mesos master 服 务 的 ， 围 绕 高 可 用 、 注 册 信息 、 对 应 用 框架 的 资源 管理 等 。 用 户 应 该 根据 本 地 主 节点 资源 情况 来 合理 地 配置 这 些 选项 。 


用 户 可 以 通过 mesos-master--help 命 令 来 获取 所 有 支持 的 配置 项 信息 。 


必须 指定 的 配置 项 有 三 个 ， 其 他 为 可 选 。 参 见 表 26-2。 


表 26-2 Mesos 配 置 master 专 属 项 


配置 项 
-~-quorum=VALUE 


--work dir=VALUE 


-一 ZK=VALUE 


-~-acls=VALUE 

--allocation interval=VALUE 
--allocator=VALUE 
--[no-]authenticate 
--[no-]authenticate slaves 
--authenticators=VALUE 
--Cluster=VALUE 
--credentials=VALUE 
--external log file=VALUE 
--framework sorter=VALUE 
--hooks=VALUE 
--hostname=VALUE 
--[no-]log auto initialize 
--modules=VALUE 

--offer timeout=VALUE 
--rate limits=VALUE 


--recovery slave removal limit= 
VALUE 


--slave removal rate limit= 
VALUE slave 


--registry=VALUE 


--registry fetch timeout=VALUE 

--registry store timeout=VALUE 

-= [no-]registry strict 

--roles=VALUE 

--[no-]root submissions root 

--Slave reregister timeout= 
VALUE 


--Uuser sorter=VALUE 
--webui dir=VALUE webui 
--weights=VALUE 
--whitelist=VALUE 


说 有 明 
必 备 项 ， 使 用 基于 replicated-Log 的 注册 表 ( 即 利用 ZooKeeper 


实现 HA) 时 ， 参 与 投票 时 的 最 少 节点 个 数 


必 备 项 ,注册 表 持久 化 信息 存储 位 置 
必 备 项 ， 如 果 主 节点 为 HA 模式， 指定 ZooKeepr 的 服务 地 址 ， 支 


持 多 个 地 址 ,之 间 用 逗号 隔离 ， 例 如 zk://username:password(@hostl: 
portl, host2:port2, .…/path。 还 可 以 为 存 有 路 径 信 息 的 文件 路 径 


ACL 规则 或 所 在 文件 

执行 allocation 的 间隔 ， 默 认为 1sec 

分 配 机 制 ， 默 认为 HierarchicalDRF 

是 否 人 允许 非 认证 过 的 framework 注册 

是 否 允许 非 认证 过 的 slaves 注册 

对 framework 或 salves 进行 认证 时 的 实现 机 制 
集群 别名 ， 显 示 在 Web 界面 上 供用 户 识别 的 

存储 加 密 后 凭证 的 文件 的 路 径 

采用 外 部 的 日 志文 件 

给 定 framework 之 间 的 资源 分 配 策 略 

master 中 安装 的 hook 模块 

master 节点 使 用 的 主机 名 ， 不 配置 则 从 系统 中 获取 
是 否 自动 初始 化 注册 表 需 要 的 replicated 日 志 

要 加 载 的 模块 ， 支 持 文件 路 径 或 者 JSON 

offer 撤销 的 超时 

framework 的 速率 限制 ， 即 query per second (qps) 
限制 注册 表 恢 复 后 可 以 移 除 或 停止 的 slave 数目 ， 超 出 后 master 


会 失败 ， 默 认 是 100% 


没有 完成 健康 度 检查 时 候 被 移 除 的 速率 上 限 , 例如 1/10mins 代表 


每 十 分 钟 最 多 有 一 个 


注册 表 信 息 的 持久 化 策略 ， 默 认为 replicated log 存放 本 地 ， 还 可 


以 为 in_memory 放 在 内 存 中 


访问 注册 表 失 败 超时 

存储 注册 表 失 败 超时 

是 否 按照 注册 表 中 持久 化 信息 执行 操作 ， 默 认为 false 

集群 中 framework 可 以 所 属 的 分 配角 色 

是 否 可 以 提交 framework， 默 认为 true 

新 的 lead master 节点 选举 出 来 后 ， 多 久之 内 所 有 的 slave 需要 注 


册 ， 超 时 的 salve 将 被 移 除 并 关闭 ， 默 认为 10mins 


在 用 户 之 间 分 配 资源 的 策略 ， 默 认为 drf 

实现 的 文件 目录 所 在 ， 默 认为 /usrlocal/share/mesosywebui 
各 个 角色 的 权重 

文件 路 径 ， 包 括 发 送 offer 的 slave 名 单 ， 默 认为 None 


( 续 ) 


配置 项 说 明 
--zk session timeout=VALUE session 超时 ， 默 认为 10secs 
配置 了 --with-network-isolator 时 可 用 ， 限 制 每 个 slave 同时 执行 任 


--max executors per slave=VALUE 


务 个 数 


下 面 给 出 一 个 由 三 个 节点 组 成 的 master 集 群 典 型 配置 ， 工 作 目 录 指定 为 /tmp/mesos， 集 群 名 称 为 mesos_cluster: 


mesos_cluster: 

mesos-master \ 
—-Zk=zk://10.0.0.2:2181,10.0.0.3:2181,10.0.0.4:2181/mesos \ 
—-quorum=2 \ 

—-work_dir=/tmp/mesos \ 

--cluster=mesos_cluster 


26.4.3 ”slave 专 属 项 


slave 节 点 支持 的 配置 项 是 最 多 的 ， 因 为 它 所 完成 的 事情 复杂 。 这 些 配置 项 既 包 括 跟 主 节 点 打交道 的 一 些 参数 ， 也 包括 对 本 地 资源 的 配置 ， 包 括 隔离 机 制 、 本 地 任务 的 资源 限制 等 。 


用 户 可 以 通过 mesos-slave--help 命 令 来 获取 所 有 支持 的 配置 项 信息 。 
必 备 项 就 一 个 : --master=VALUE，master 所 在 地 址 ， 或 对 应 ZooKeeper 服 务 地 址 ， 或 文件 路 径 ， 可 以 是 列表 。 其 他 为 可 选项 ， 参 见 表 26-3。 


表 26-3 Mesos 配 置 slave 专 属 项 


配置 项 说 明 
--attributes=VALUE 机 器 属性 
--authenticatee=VALUE 跟 master 进行 认证 时 候 的 认证 机 制 
-- [no-]cgroups enable cfs 采用 CFS 进行 带宽 限制 时 候 对 CPU 资源 进行 限制 ， 默 认为 false 
--cgroups hierarchy=VALUE cgroups 的 目录 根 位 置 ， 默 认为 /sys/fs/cgroup 
-- [no-]cgroups limit swap 限制 内 存 和 swap， 默 认为 false， 只 限制 内 存 
--cgroups root=VALUE 根 cgroups 的 名 称 ， 默 认为 mesos 


--container disk watch pm Se Ls a 
i 一 | ”为 容器 进行 硬盘 配额 查询 的 时 间 间 隔 
interval=VALUE 


采用 外 部 隔离 机 制 ( --isolation=external) 时 候 ， 外 部 容器 机 制 执行 文件 


--containerizer path=VALUE 


路 径 
--containerizers=VALUE 可 用 的 容器 实现 机 制 ， 包 括 mesos、external、docker 
--credential=VALUE 加 密 后 赁 证， 或 者 所 在 文件 路 径 
--default container image= ey 本 
全 和 到 本 采用 外 部 容器 机 制 时 ， 任 务 默认 使 用 的 镜像 


--default container info= 
VALUE 


--default role=VALUE 资源 上 默认 分 配 的 角色 


容 需 信息 的 默认 值 


配置 项 
--disk watch interval= 
VALUE 
-~-docker=VALUE 
-~-docker remove delay= 
VALUE 
--[no-]docker kill orphans 


-~-docker sock=VALUE 
-~-docker mesos image=VALUE 


-~-docker sandbox directory= 
VALUE 

-~-docker stop timeout= 
VALUE 

--[no-]enforce container 
disk quota 

-~executor registration 
timeout=VALUE 

-~-executor shutdown grace _ 
Period=VALUE 

-~-external log file=VALUE 

-~-fetcher cache size=VALUE 

-~-fetcher cache dir=VALUE 

--frameworks home=VALUE 

--gc_ delay=VALUE 

--gc_ disk headroom=VALUE 


-~-hadoop home=VALUE 


-~-hooks=VALUE 
--hostname=VALUE 


--isolation=VALUE 


-~-launcher dir=VALUE 

-~-image providers=VALUE 

-~-oversubscribed resources_ 
interval=VALUE 

--modules=VALUE 

--perf duration=VALUE 

-~-perf events=VALUE 

-~-perf interval=VALUE 

--qos_controller=VALUE 

--q0s correction interval 


min=VALUE 


说 有明 
硬盘 使 用 情况 的 周期 性 检查 间隔 ， 默认 为 1mins 
docker 执行 文件 的 路 径 
删除 容器 之 前 的 等 待 时 间 ， 默 认为 6hrs 


清除 孤儿 容器 ， 默 认为 true 
docker sock 地 址 ， 默 认为 /var'runydockersock 
运行 slave 的 docker 镜像， 如 果 被 配置 ，docker 会 假定 slave 运行 在 一 


个 docker 容器 里 


sandbox 映射 到 容器 里 的 哪个 路 径 


停止 实例 后 等 待 多 久 执 行 kill 操作 ， 默 认为 0secs 


是 否 启用 容器 配额 限制 ， 默 认为 false 


执行 应 用 最 多 可 以 等 多 和 久 再 注册 到 slave， 和 否则 停止 它 ， 默 认为 1mins 


执行 应 用 停止 后 ， 等 待 多 久 ， 默 认为 Ssecs 


外 部 日 志文 件 

fetcher 的 cache 大 小 ， 默 认为 2GB 

fetcher cache 文件 存放 目录 ,默认 为 /tmp/mesosifetch 

执行 应 用 前 添加 的 相对 路 径 ， 默 认为 空 

多 久 清 理 一 次 执行 应 用 目录 ,默认 为 1weeks 

调整 计算 最 大 执行 应 用 目录 年 龄 的 硬盘 留 空 晤 ,默认 为 0.1 

hadoop 安装 目录 ， 默 认为 空 ， 会 自动 查找 HADOOP_HOME 或 者 从 系 


统 路 径 中 查找 


安装 在 master 中 的 hook 模块 列表 
slave 节点 使 用 的 主机 名 
隔离 机 制 ， 例 如 posix/cpu,posix/mem (默认 ) 或 者 cgroups/cpu,cgroups/ 


mem、external 等 


mesos 可 执行 文件 的 路 径 ， 默 认为 masr/locallibymesos 
支持 的 容器 镜像 机 制 ， 例 如 'APPC,DOCKER' 


slave 节点 定期 汇报 超 配 资源 状态 的 周期 

要 加 载 的 模块 ， 支 持 文件 路 径 或 者 JSON 

perf 采样 时 长 ， 必 须 小 于 perf_interval， 默 认为 10secs 
perf 采样 的 事件 

perf 采样 的 时 间 间 隔 

超 配 机制 中 保障 QoS 的 控制 器 名 


Qos 控制 器 纠正 超 配 资 源 的 最 小 间隔 ， 默 认为 0secs 


配置 项 


一 -TeCcoVer=VALUE 


--recovery timeout=VALUE 


--registration backoff factor= 
VALUE 

--resource monitoring interval= 
VALUE 

--resources=VALUE 

--[no-]revocable cpu low_ 
priority 

--Sslave subsystems=VALUE 

--[no-] strict 

--[no-] switch user 

--work dir=VALUE 

-~-ephemeral ports per 
container=VALUE 

--eth0 name=VALUE 

--lo name=VALUE 

--egress rate limit Per 
container=VALUE 

--[no-] -egress unique flow 
per container 

--[no-]network enable 


socket statistics 


最 后 6 个 选项 需要 配置 --with-network-isolator 一 起 使 


下 面 给 出 一 个 典型 的 slave 配 置 ， 容 器 为 Docker， 监 听 在 10.0.0.10 地 址 ， 节 点 上 限制 16 个 CPU、64GB 内 存 ， 容 器 的 非 临 时 端 
容器 | 临时 端口 最 多 为 512 个 ， 并 且 外 出 流量 限 速 为 50MB/s: 


(编译 时 需要 启 


( 续 ) 
说 明 

回复 后 是 否 重 连 旧 的 执行 应 用 ，reconnect (默认 值 ) 是 重 连 ，cleanup 清 
除 旧 的 执行 器 并 退出 

slave 恢复 时 的 超时 ， 太 久 则 所 有 相关 的 执行 应 用 将 自行 退出 ， 默 认为 
1Smins 

跟 master 进行 注册 时 候 的 重 试 时 间 间 隔 算法 的 因子 ， 默 认为 lsecs， 采 
用 随机 指数 算法 ， 最 长 Imins 


周期 性 监测 执行 应 用 资源 使 用 情况 的 间隔 ， 默 认为 1secs 
每 个 slave 可 用 的 资源 ， 比 如 主机 端口 默认 为 [31000, 32000] 
运行 在 可 撤销 CPU 上 容器 将 拥有 较 低 优先 级 ， 默 认为 true 


slave 运行 在 哪些 cgroup 子 系统 中 ， 包 括 memory，cpuacct 等 ， 默 认为 空 

是 否认 为 所 有 错误 都 不 可 忽略 ， 默 认为 true 

用 提交 任务 的 用 户 身 份 来 运行 ， 默 认为 true 

framework 的 工作 目录 ， 默 认为 /tmp/mesos 

分 配给 一 个 容 需 的 临时 端口 的 最 大 数目 ， 需 要 为 2 的 整数 需 (默认 为 
1024 ) 

public 网 络 的 接口 名 称 ， 如 果 不 指 定 ， 根 据 主机 路 由 进行 猜测 

loopback 网 卡 名 称 

每 个 容 需 的 输出 流量 限制 速率 限制 (采用 fq_codel 算 法 来 限 速 )， 单 位 
是 字 节 每 秒 

是 否 把 不 同 容 需 的 流量 当 作 彼此 不 同 的 流 ， 避 免 彼此 影响 (默认 为 
false ) 


是 否 采 集 每 个 容器 的 socket 统计 信息 ， 默 认为 false 


--with-network-isolator 参 数 ) : 


mesos-slave \ 


--master=zk://10.0.0.2:2181,10.0.0.3:2181,10.0.0.4:2181/mesos \ 


--containerizers=docker 
-ip=10.0.0.10 \ 
--isolation=cgroups/cpu, cgroups/mem, network/port mapping \ 


--resources=cpus:16;mem:64000;ports: [31000-32000] ;ephemeral ports:[32768-57344] \ 


—-ephemeral ports per container=512 \ 
~-egress rate limit per container=50000KB \ 
--egress_unique flow per container 


为 了 避免 主机 分 配 的 临时 端口 跟 我 们 指定 的 临时 端口 范围 冲突 ， 需 要 在 主机 节点 上 进行 配置 : 


范围 指定 为 31000~32000]， 临 时 端口 范围 指定 为 [32768~57344]， 每 个 


$ echo "57345 61000" > /proc/sys/net/ipv4/ip local port range 


Ot 言 


非 临时 端口 是 Mesos 分 配给 框架 ， 绑 定 到 任务 使 用 的 ， 端 口号 往往 有 明确 意义 ; 临时 端口 是 系统 分 配 的 ， 往 往 不 太 关心 具体 端口 号 。 


26.5 ”日志 与 监控 


Mesos 自 身 提供 了 强大 的 日 志和 监控 功能 ， 某 些 应 用 框架 也 提供 了 针对 框架 中 任务 的 监控 能 力 。 通 过 这 些 接口 ， 用 户 可 以 实时 获知 集群 的 各 种 状态 。 


日 志文 件 默认 在 /vaVlog/mesos 目 录 下 ， 根 据 日 志 等 级 带 有 不 同 后 缀 。 用 户 可 以 通过 


中 碰 到 的 问题 。 一 般 推 荐 使 用 - 


-log_dir 选 项 来 指定 日 志 存 放 路 径 ， 并 通过 日 志 分 析 引 警 来 进行 监 


Mesos 提 供 了 方便 的 监控 接口 ， 供 用 户 查看 集群 中 各 个 节点 的 状态 。 下 面 分 别 介绍 两 种 节点 的 监控 。 


(1) 主 节点 


例如 ， 查 看 主 节 点 10.0.0.2 的 状态 信息 ， 并 


jq 来 解析 返回 的 json 对 象 : 


$ curl -s http://10.0.0.2:5050/metrics/snapshot |jq . 


{ 


"system/mem total bytes": 4144713728, 


"system/mem free 


: 153071616, 


"system/load - Si 0.29, 


"systemVcpus totalw 4, 


"registrar/state ， 
"registrar/state : 
"registrar/state . 
"registrar/state ， 
"registrar/state : 


"registrar/state : 


store ms/p9999"; 45.4096616192, 
store ms /p999 45.399272192， 
store ms /p99": 45.29537792, 
store ms/p95": 44.8336256, 
store ms/p90": 44.2564352, 
store ms/p50": 34.362368, 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 


"master/recovery 


slave removals": 1, 


"master/slave registrations": Qs 

"master/slave removals" 3 Os 

"master/slave removals/reason registered": 0, 
"master/slave removals/reason unhealthy": 0, 
"master/slave removals/reason unregistered": 0, 
"master/slave reregistrations": 2, 


"master/slave_ shutdowns_canceled" 
"master/slave_ shutdowns_completed 
"master/slave_shutdowns_scheduled": 


(2) 从 节点 


通过 http://SLAVE_NODE:5051/metrics/snapshot 地 址 可 以 获取 到 Mesos 从 节点 的 各 种 状态 统计 信息 ， 包 括 资源 、 系 统 状态 、 各 种 消息 状态 等 。 


例如 ， 查 看 从 节点 10.0.0.10 的 状态 信息 ， 如 下 所 示 : 


$ curl -s http://10.0.0.10:5051/metrics/snapshot |jq . 


{ 


"system/mem total bytes": 16827785216, 


"system/mem free 
"system/1l0ad Smi 
"system/load lmi 


"system/load 15min 
"system/cpus total": 


:bytes": 3377315840, 
se 11; 

0.16, 

.TB 

8, 


"slave/valid status updates" 
"slave/valid framework messages": 0, 


"slave/uptime secs": 954125.458927872, 
"slave/tasks starting": 0, 
"slave/tasks staging": 0, 

"slave/tasks running": 1, 


"slave/tasks_lost" 
"slave/tasks_ killed": 
"slave/tasks finished": 


"slave/executors preempted": 0, 


"slave/executor directory max allowed age secs": 


"slave/disk used": 0, 

"slave/disk total": 88929, 

"slave/disk revocable used": 0, 
"slave/disk_revocable total": : 0, 

"slave/disk revocable 1 percent": 0, 

"slave/disk ] percent": 0, 
"containerizer/mesos/container A Dy 


"slave/container 


launch errors": 6, 


"slave/cpus_percent": 0.025, 
"slave/cpus_ revocable percent": 0, 
"slave/cpus revocable total": 0, 
"slave/cpus_revocable used": 0, 
"slave/cpus total": 8, 
"slave/cpus used": 0.2, 


"slave/executors : 
"slave/executors _ 


"slave/executors 


"slave/executors 


registering": 0, 
running": 1, 
terminated": 8, 
terminating": 0, 


"slave/frameworks active": 1, 
"slave/invalid framework ._ messages": 0, 
"slave/invalid status updates": sy 
"slave/mem percent": 0.00279552715654952, 
"slave/mem revocable_percent": 人 
"slave/mem revocable total": 0, 
"slave/mem revocable used": 0, 
"slave/mem total": 15024, 


"slave/mem used": 


42, 


"slave/recovery errors" 3 
"slave/registered": 1, 
"slave/tasks failed": 6 


403050.709525191, 


另外 ， 通 过 http://MASTER_NODE:5050/monitorstatistics.json 地 址 可 以 看 到 该 从 节点 上 容器 网 络 相关 的 统计 数 


26.6 ”常见 应 用 框架 


应 用 框架 是 实际 干 活 的 


Mesos 目 前 支持 的 应 | 


， 可 以 理解 为 Mesos 之 上 跑 的 “应 用 ”。 应 上 


框架 分 为 四 大 类 : 长 期 运行 服务 (以 及 PaaS) 、 


框架 注册 到 Mesos master 服 务 上 即 可 使 用 。 


居 ， 包 括 进出 流量 


大 数据 处 理 、 批 量 调度 、 数 据 存储 。 


随 着 Mesos 自 身 的 发 展 ， 越 来 越 多 的 框架 开始 支持 Mesos， 表 26-4 总 结 了 目前 常 


的 一 些 框架 。 


表 26-4 Mesos 支 持 的 常 


大 部 分 时 候 


见 应 用 框架 


， 只 需 


跟 应 


框架 打交道 


、 丢 包 数 、 队 列 情况 等 。 获 取 方 法 同上 ， 在 此 不 再 演示 。 


框架 十 分 关键 。 


人 机 
项 目 维护 地 址 在 http://aurora.incubator.apache.org 利用 mesos 调度 安排 的 任 
务 , 保证 任务 一 直 在 运行 提供 REST 接口 ， 客 户 端 和 webUI ( 8081 端口 ) 
项 目 维护 地 址 在 https://github.com/mesosphere/marathon 一 个 私有 PaaS 平 
| 台 ， 保 证 运行 的 应 用 不 被 中 断 。 如 果 任 务 停 止 了 ， 会 自动 重启 一 个 新 的 相同 
长 期 运行 的 服务 任务 。 支 持 任 务 为 任意 bash 命令 ， 以 及 容 需 。 提 供 REST 接口 、 客 户 端 和 
webUI ( 8080 端口 ) 
项 目 维护 地 址 在 https://github.com/HubSpot/Singularity 
Singularity 一 个 私有 PaaSs 平台 。 调 度 需 运行 长 期 的 任务 和 一 次 性 任务 。 提 供 REST 
接口 、 客 户 端 和 webUI ( 7099 、8080 端口 )， 支 持 容器 
项 目 维护 地 址 在 https://github.com/nqn/mesos-chapel 
支持 Chapel 并 行 编程 语言 的 运行 框架 
项 目 维护 地 址 在 https://github.com/douban/dpark 
Spark 的 Python 实现 
项 目 维护 地 址 在 https://github.com/mesos/hadoop 
大 数据 处 理 经 典 的 map-reduce 模型 的 实现 
项 目 维护 地 址 在 http://spark.incubator.apache.org 
Spark 跟 Hadoop 类 似 ， 但 处 理 迭 代 类 型 任务 会 更 好 的 使 用 内 存 做 中 间 状 态 缓存 ， 
速度 要 快 一 些 
项 目 维 护 地 址 在 https://github.com/mesosphere/storm-mesos 
分 布 式 流 计算 ， 可 以 实时 处 理 数据 流 
( 续 ) 
信人 7 
项 目 维护 地 址 在 https://github.com/airbnb/chronos 
Cron 的 分 布 式 实现 ， 负 责任 务 调度 ， 支 持 容 错 
项 目 维护 地 址 在 https://github.com/jenkinsci/mesos-plugin 
大 名 鼎鼎 的 CI 引擎 。 使 用 mesos-jenkins 插件 ， 可 以 将 jenkins 的 任务 被 
Mesos 集群 来 动态 调度 执行 
批量 调度 
项 目 维护 地 址 在 http://www.grandlogic.com/content/html_docs/jobserver.html 
基于 Java 的 调度 任务 和 数据 处 理 引 擎 
项 目 维护 地 址 在 https://bitbucket.org/osallou/go-docker 
GoDocker 基于 Docker 容 融 的 集群 维护 工具 。 提 供用 户 接 口 ， 除 了 支持 Mesos， 还 文 
Ee 持 Kubernetes 、Swarm 等 
项 目 维 护 地 址 在 https://github.com/mesosphere/cassandra-mesos 
高 性 能 的 分 布 式 数据 库 。 可 扩展 性 很 好 ， 支 持 高 可 用 
项 目 维护 地 址 在 https://github.com/mesosphere/elasticsearch-mesos 
Blasticsenrch 功能 十 分 强大 的 分 布 式 数据 搜索 引擎 。 一 方 面 通过 分 布 式 集群 实现 可 靠 
数据 存储 的 数据 库 ， 一 方面 提供 灵活 的 API 对 数据 进行 整合 和 分 析 。ElasticSearch + 


LogStash + Kibana 目前 合成 为 ELK 工具 栈 
项 目 维 护 地 址 在 https://code.google.com/p/hypertable 
高 性 能 的 分 布 式 数据 库 ， 支 持 结构 化 或 者 非 结 构 化 的 数据 存储 
项 目 维护 地 址 在 http://tachyon-project.org/ 
内 存 为 中 心 的 分 布 式 存储 系统 ， 利 用 内 存 访问 的 高 速 提供 高 性 能 


Hypertable 


Tachyon 


26.7 ”本章 小 结 


本 章 讲解 了 Mesos 的 安装 使 用 、 基 本 原理 和 架构 ， 以 及 支持 Mesos 的 重要 应 用 框架 。Mesos 最 初 设计 为 资源 调度 器 ， 然 而 其 灵活 的 设计 和 对 上 层 框架 的 优秀 支持 ， 使 得 它 可 以 很 好 地 支持 大 规模 的 分 布 
式 应 用 场景 。 结 合 Docker，Mesos 可 以 很 容易 部 署 一 套 私有 的 容器 云 。 


除了 核心 功能 之 外 ，Mesos 在 设计 上 有 许多 值得 借鉴 之 处 ， 比 如 它 清晰 的 定位 、 简 洁 的 架构 、 细 致 的 参数 、 高 度 容错 的 可 靠 ， 还 有 对 限 速 、 监 控 等 的 支持 等 。 


Mesos 作 为 一 套 成 熟 的 开源 项 目 ， 可 以 很 好 地 被 应 用 和 集成 到 生产 环境 中 。 但 它 的 定位 集中 在 资源 调度 ， 往 往 需要 结合 应 用 框架 或 二 次 开发 。 


Kubernetes 是 Google 团 队 发 起 并 维护 的 开源 容器 集群 管理 系统 ， 支 持 如 Docker 等 容器 技术 。 类 似 Docker Swarm， 使 用 Kubernetes， 用 户 可 以 轻松 搭建 和 管理 一 个 私有 容器 云 。 


本 章 将 介绍 Kubernetes 相 关 的 核心 概念 和 重要 实现 组 件 ， 以 及 如 何 进行 安装 部 署 。 读 者 通过 学 习 Kubernetes 的 命令 ， 可 以 体会 如 何在 生产 环境 中 灵活 使 用 Kubernetes 来 提高 应 用 开发 和 部 署 的 效率 。 


Kubernetes 是 Google 公 司 于 2014 年 基于 内 部 集群 管理 系统 Borg 开 源 的 容器 集群 管理 项 目 。 该 项 目 基于 Go 语言 实现 ， 试 图 为 基于 容器 的 应 用 部 署 和 管理 打造 一 套 强大 并 且 易 用 的 管理 平台 。 
Kubernetes 自 开源 之 日 起 就 吸引 了 众多 公司 和 容器 技术 爱好 者 的 关注 ， 是 目前 容器 集群 管理 最 优秀 的 开源 项 目 之 一 。 已 有 Microsoft、RedHat、IBM、Docker、Mesosphere、CoreOS 以 及 SaltStack 等 公 
司 加 入 了 Kubernetes 社 区 。 


Kubernetes 的 前 身 (Borg 系 统 ) 在 Google 内 部 已 经 应 用 了 十 几 年 ， 积 累 了 大 量 来 自生 产 环境 的 宝贵 实践 经 验 。 在 设计 Kubernete 的 时 候 ， 团 队 也 很 好 地 结合 了 来 自 社区 的 想法 。 


正 是 因为 这 些 积累 ， 作 为 一 套 分 布 式 应 用 容器 集群 系统 ，Kubernetes 拥 有 鲜明 的 技术 优势 : 


“ 优秀 的 API 设 计 ， 以 及 简洁 高 效 的 架构 设计 ， 主 要 组 件 个 数 很 少 ， 彼 此 之 间 通 过 接口 调用 ; 


“ 基于 微服 务 模式 的 多 层 资源 抽象 模型 ， 兼 顾 灵 活性 与 可 操作 性 ， 提 出 的 Pod 模 型 被 许多 平台 借鉴 ; 


. 可 拓展 性 好 ， 模 块 化 容易 替换 ， 伸 缩 能 力 极 佳 ，1.2.0 版 本 单 集群 支持 1000 个 节点 ， 同 时 运行 30000 个 Pods; 
:自动 化 程度 高 ， 真 正 实现 “所 得 即 所 需 ”， 用 户 通过 模板 声明 服务 后 ， 生 命 周期 都 是 自动 化 管理 ; 
“ 部 署 支持 多 种 环境 ， 包 括 庶 拟 机 、 裸 机 部 署 ， 还 很 好 地 支持 常见 云 平台 ， 包 括 AWS、GCE 等 ; 


:支持 丰富 的 运 维 工 具 ， 方 便 用 户 对 集群 进行 性 能 测试 、 问 题 检查 和 状态 监控 ; 


“ 自 带 控 制 台 、 客 户 端 命令 等 工具 ， 允 许 用 户 通过 多 种 方式 与 kubernetes 集 群 进行 交互 。 
基于 Kubernetes， 可 以 很 容易 地 实现 一 套 PaaSs， 比 如 Openshift 和 Deis。 


Kubernetes 目 前 在 github.com/kubernetes/kubernetes 进 行 维护 ， 最 新 版 本 为 1.3.x。 


2015 年 7 月 发 布 的 1.0 版 本 是 Kubernetes 的 第 一 个 正式 版 本 ， 标 志 着 核心 功能 已 经 逐渐 成 熟 稳定 ， 可 以 正式 投入 生产 环境 使 用 。 


2016 年 3 月 发 布 的 1.2.0 版 本 ， 在 性 能 、 稳 定性 和 可 管理 性 上 都 有 了 重大 的 优化 和 升级 ， 包 括 对 多 可 用 域 的 支持 、 监 控 服 务 增强 、 上 干 物理 节点 的 支持 等 令 人 振奋 的 特性 。 本 书 将 以 1.2.x 版 本 系列 为 主 
兼顾 1.3.x 中 的 新 特性 进行 剖析 和 实践 。 


Oi 


Kubernetes 来 自 希 腊 语 ， 是 “领航 员 ” 的 意思 ， 经 常 被 缩写 为 K8S。 


27.2 核心 概念 


Kubernetes 的 核心 概念 见 图 27-1。 


要 想 深 入 理解 Kubernetes 的 特性 和 工作 机 制 ， 首 先 要 掌握 Kubernete 模 型 中 的 核心 概念 。 这 些 核心 概念 反映 了 Kubernetes 设 计 过 程 中 对 应 用 容器 集群 的 认 知 模型 。 


首先 是 集群 组 件 ， 从 架构 上 看 ，Kubernetes 集 群 (Cluster) 也 采用 了 典型 的 “ 主 - 从 ”架构 。 一 个 集群 主要 由 管理 组 件 (Master) 和 工作 节点 (Node) 组 件 构成 。 


另外 ，Kubernetes 集 群 的 主要 任务 始终 围绕 着 应 用 的 生命 周期 。 通 过 将 不 同 资源 进行 不 同 层次 的 抽象 ，Kubernetes 提 供 了 灵活 可 靠 的 生命 周期 管理 。 资 源 的 核心 抽象 主要 包括 : 


“ 容器 组 (Pod) : 由 位 于 同一 节点 上 若干 容器 组 成 ， 彼 此 共享 网 络 命名 空间 和 存储 卷 《Volume) 。Pod 是 Kubernetes 中 进行 管理 的 最 小 资源 单位 ， 是 最 为 基础 的 概念 。 跟 容器 类 似 ，Pod 是 短暂 的 ， 随 时 


“ 服务 (Service) : 若干 (往往 是 同类 型 的 ) Pod 形 成 的 对 外 提供 某 个 功能 的 抽象 ， 不 随 Pod 改 变 而 变化 ， 带 有 唯一 国定 的 访问 路 径 ， 如 IP 地 址 或 者 域名 。 
“ 复制 控制 器 (Replication Controller) : 负责 启动 Pod， 并 维护 其 健康 运行 的 状态 。 是 用 户 管理 Pod 的 句柄 。 
“部署 (Deployment) : 创建 Pod， 并 可 根据 参数 自动 创建 管理 Pod 的 复制 控制 器 ， 并 且 支 持 升 级 。1.2.0 版 本 引入 提供 比 复制 控制 器 更 方便 的 操作 ; 


“ 横向 Pod 扩 展 器 (Horizontal Pod Autoscaler，HPA) : 类 似 云 里 面 的 自动 扩展 组 ， 根 据 Pod 的 使 用 率 (典型 如 CPU) 自动 调整 一 个 部 署 里 面 Pod 的 个 数 ， 保 障 服务 可 用 性 ; 
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图 27-1 ”Kubernetes 的 核心 概念 


此 外 ， 还 有 一 些 管理 资源 相关 的 辅助 概念 ， 主 要 包括 : 


“ 注解 (Annotation) : 键 值 对 ， 可 以 存放 大 量 任意 数据 ， 一 般 用 来 添加 对 资源 对 象 的 详细 说 明 ， 可 供 其 他 工具 处 理 。 
“ 标签 (Label) : 键 值 对 ， 可 以 标记 到 资源 对 象 上 ， 用 来 对 资源 进行 分 类 和 筛选 ; 

“ 名字 (Name) : 用 户 提供 给 资源 的 别名 ， 同 类 资源 不 能 重 名 ; 

“ 命名 空间 (Namespace) : 这 里 是 指 资源 的 空间 ， 避 免 不 同 租户 的 资源 发 生命 名 冲突 ， 另 外 可 以 进行 资源 限额 ; 
“ 持久 卷 (PersistentVolume) : 类 似 于 Docker 中 数据 卷 的 概念 ， 就 是 一 个 数据 目录 ，Pod 对 其 有 访问 权限 。 

“ 秘密 数据 (Secret) : 存放 敏感 数据 ， 例 如 用 户 认证 的 口令 等 ; 

“ 选择 器 (Selector) : 基于 标签 概念 的 一 个 正则 表达 式 ， 可 通过 标签 来 筛选 出 一 组 资源 ; 

' Daemon 集 (DaemonSet) : 确保 节点 上 肯定 运行 某 个 Pod， 一 般 用 来 采集 日 志和 监控 节点 ; 

“ 任务 (Job) : 确保 给 定数 目的 Pod 正 常 退出 (完成 了 任务 ) ; 

“ 入 口 资源 (Ingress Resource) : 用 来 提供 七 层 代 理 服务 ; 

“ 资源 限额 (Resource Quotas) : 用 来 限制 某 个 命名 空间 下 对 资源 的 使 用 ， 开 始 逐 渐 提供 多 租户 支持 ; 

“ 安全 上 下 文 (Security Context) : 应 用 到 容器 上 的 系统 安全 配置 ， 包 括 uid、gid、capabilities、SELinux 角 色 等 ; 


' 服务 账号 (Service Accounts) : 操作 资源 的 用 户 账号 。 


下 面 分 别 解 释 这 些 核心 概念 的 含义 和 用 法 。 


27.2.1 ”集群 组 件 


集群 由 使 用 Kubernetes 组 件 管理 的 一 组 节点 组 成 ， 这 些 节点 提供 了 容器 资源 池 供用 户 使 用 。 主 要 包括 管理 (Master) 组 件 和 节点 (Node) 组 件 。 


1.Master 组 件 


顾名思义 ，Master 组 件 提供 所 有 与 管理 相关 的 操作 ， 例 如 调度 、 监 控 、 支 持 对 资源 的 操作 等 。 


Master 会 通过 Node Controller 来 定期 检查 所 管理 的 Node 资 源 的 健康 状况 ， 完 成 Node 的 生命 周期 管理 。 


2.Node 组 件 


在 Kubernetes 中 ，Node 是 实际 工作 的 计算 实例 (在 1.1 之 前 版 本 中 名 字 叫 做 Minion) 。 节 点 可 以 是 虚拟 机 或 者 物理 机 器 ， 在 创建 Kubernetes 集 群 过 程 中 ， 都 要 预 装 一 些 必要 的 软件 来 响应 Master 的 管 
理 。 目 前 ，Node 的 配置 还 只 能 通过 人 工 手动 进行 ， 未 来 可 以 支持 通过 Master 来 自动 配 


Node 节 点 有 几 个 重要 的 属性 : 地 址 信息 、 阶 段 状 态 、 资 源 容量 、 节 点 信息 。 

地 址 信息 包括 : 

“主机 名 (HostName) : 节点 所 在 系统 的 主机 别名 ， 基 本 不 会 用 到 ; 

“ 外 部 地 址 (ExternallP) : 集群 外 部 客户 端 可 以 通过 该 地 址 访问 到 的 节点 ; 

“ 内 部 地 址 (InternalIP) : 集群 内 可 访问 的 地 址 ， 外 部 往往 无 法 通过 该 地 址 访问 节点 。 

阶段 状态 包括 : 

“ 待定 (Pending) : 新 创建 节点 ， 还 未 就 绪 状 态 ， 需 要 进一步 的 配置 ; 

: 运行 中 (Running) : 正常 运行 中 的 节点 ， 可 被 分 配 Pod， 会 定期 汇报 运行 状态 消息 ; 

“终止 (Terminated) : 节点 已 经 停止 ， 处 于 不 可 用 状态 ， 判 断 条 件 为 5 分 钟 内 未 收 到 运行 状态 消息 。 
资源 容量 包括 常见 操作 系统 资源 ， 如 CPU、 内 存 、 最 多 存放 的 Pod 个 数 等 。 


节点 信息 包括 操作 系统 内 核 信息 、Kubernetes 版 本 信息 、Docker 引 擎 版 本 信息 等 ， 会 由 kubelet 定 期 汇报 。 


27.2.2 ”资源 抽象 


Kubernetes 对 集群 中 的 资源 进行 了 不 同 级 别 的 抽象 ， 每 个 资源 都 是 一 个 REST 对 象 ， 通 过 API 进 行 操作 ， 通 过 JSON/YAML 格 式 的 模板 文件 进行 定义 。 


在 使 用 Kubernetes 过 程 中 ， 要 注意 积累 这 些 模板 文件 。 在 Kubernetes 代 码 包 的 example 目 录 下 自 带 了 十 分 翔实 的 示例 模板 文件 ， 推 荐 读者 参考 使 用 。 


1. 容 器 组 (Pod) 


在 Kubernetes 中 ， 并 不 直接 操作 容器 ， 最 小 的 管理 单位 是 容器 组 (Pod) 。 容 器 组 由 一 个 或 多 个 容器 组 成 ，Kubernetes 围 绕 容 器 组 进行 创建 、 调 度 、 停 止 等 生命 周期 管理 。 


同一 个 容器 组 中 ， 各 个 容器 共享 命名 空间 (包括 网 络 、IPC、 文 件 系统 等 容器 支持 的 命名 空间 ) 、cgroups 限 制 和 存储 卷 。 这 意味 着 同一 容器 组 中 ， 各 个 应 用 可 以 很 方便 相互 进行 访问 ， 比 如 通过 
localhost 地 址 进行 网 络 访问 ， 通 过 信号 量 和 共享 内 存 进行 进程 间 通 信 等 ， 类 似 于 经 典 场景 中 运行 在 同一 个 操作 系统 中 的 一 组 进程 。 可 以 简单 将 一 个 Pod 当 作 是 一 个 抽象 的 “虚拟 机 ” ， 里 面 运行 若干 个 不 同 
的 进程 (每 个 进程 实际 上 就 是 一 个 容器 ) 。 


实现 上 ， 是 先 创建 一 个 gcr.io/google_containers/pause 容 器 ， 创 建 相关 命名 空间 ， 然 后 创建 Pod 中 的 其 他 容器 ， 共 享 pause 容 器 的 命名 空间 。 


容器 组 内 的 若干 容器 往往 是 存在 共同 的 应 用 目的 ， 彼 此 关联 十 分 紧密 ， 例 如 一 个 Web 应 用 和 对 应 的 日 志 采 集 应 用 或 状态 监控 应 用 。 如 果 单 纯 把 这 些 相关 的 应 用 放 一 个 容器 里 面 ， 又 会 造成 过 度 耦 合 ， 管 


理 升 级 都 不 方便 。 


容器 组 的 经 典 应 用 场景 包括 : 


“ 内 容 管 理 ， 文 件 和 数据 加 载 ， 缓 存 管理 等 ; 


“日 志 处 理 ， 状 态 快照 等 ; 


“ 监控 代理 ， 消 息 发 布 等 ; 


“ 代理 机 制 ， 网 桥 、 网 卡 等 ; 


“ 控制 器 ， 管 理 器 ， 配 置 以 及 更 新 等 。 


跟 其 他 资源 类 似 ， 容 器 组 是 一 个 REST 对 象 ， 用 户 可 以 通过 YAML 或 者 JSON 模 板 来 定义 一 个 容器 组 资源 ， 例 如 : 


apiVersion: vl 
kind: Pod 
metadata: 
name: nginx-test 
spec: 
containers: 
- name: nginx 
image: nginx 
ports: 
— containerPort: 80 


可 以 说 ， 容 器 组 既 保持 了 容器 经 量 解 奈 的 特性 ， 又 提供 了 调度 操作 的 便利 性 ， 在 实践 中 提供 了 比重 


容器 组 生命 周期 包括 五 种 状态 值 : 待定 (Pending) 、 
“ 待定 (Pending) : 已 经 被 系统 接受 ， 但 容器 镜像 还 未 就 绪 ; 
运行 (Running) ; 分 配 到 节点 ， 所 有 容器 都 被 创建 ， 至 少 一 个 容器 在 运行 中 ; 
“ 成功 (Succeeded) : 所 有 容器 都 正常 退出 ， 不 需要 重启 ， 任 务 完 成 ; 
“ 失败 (Failed) : 所 有 容器 都 退出 ， 至 少 一 个 容器 是 非 正常 退出 ; 
:未知 (Unknown) : 未 知 状态 ， 例 如 所 在 节点 无 法 汇报 状态 。 

2. 复 制 控制 器 (Replication Controller) 和 部 署 (Deployment) 


在 Kubernetes 看 来 ，Pod 资 源 是 可 以 随时 故障 的 ， 并 不 非 要 保证 Pod 的 运行 ， 


一 | 


请 容器 组 后 ， 复 制 控制 器 将 负责 调 
即使 Pod 份 数 是 1， 也 要 使 用 复制 控制 器 来 创建 ， 而 不 是 直接 创建 Pod。 


DO 


而 是 在 发 生 失 败 


可 以 将 复制 控制 器 类 比 为 进程 的 监管 者 (supervisor) 的 角色 ， 只 不 过 它 不 光 能 保持 Pod 的 持续 运行 ， 


a 个 容器 更 为 灵活 和 更 有 意义 的 抽象 。 


运行 (Running) 、 成 功 (Succeeded) 、 失 败 (Failed) 、 未 知 (Unknown) : 


新 生成 。Kubernetes 通 过 复制 控制 器 来 实现 这 一 功能 。 


EE 


度 容器 组 到 某 个 节点 上 ， 并 保证 它 的 给 定 份 数 (replica) 正常 运行 。 当 实际 运行 Pod 份 数 超过 数目 ， 则 终止 某 些 Pod; 当 不 足 ， 则 创建 新 的 Pod。 一 般 建议 ， 


还 能 保持 集群 中 给 定 类 型 Pod 同 时 运行 的 个 数 为 指定 值 。 


Pod 是 临时 性 的 ， 可 以 随时 被 复制 控制 器 创建 或 者 销毁 ， 这 意味 着 要 通过 Pod 自 身 的 地 址 访问 应 用 是 不 能 保证 一 致 性 的 。Kubernetes 通 过 服务 的 概念 来 解决 这 个 问题 。 


从 1.2.0 


3. 横 向 Pod 扩 展 器 (Horizontal Pod Autoscaler) 


横向 扩展 器 (HPA) 在 复制 控制 器 和 部 署 的 基础 上 增加 了 


典型 的 一 个 场景 是 ， 定 期 (由 --horizontal-pod-autosca 
降低 。 内 部 机 制 是 通过 scale 接 口 来 操作 资源 。 


@ia 


版 本 开始 ，Kubernetes 将 正式 引入 部 署 (Deployment) 机 制 来 支持 更 灵活 的 Pod 管 理 ， 从 而 


动 反馈 机 制 ， 通 过 定期 查询 Pod 的 资源 利 


户 无 需 直 接 跟 复 制 控制 器 打交道 了 。 
率 来 调整 Pod 的 数目 ， 确 保 服务 的 可 用 性 。 
er-sync-period 参 数 指定 ) 通过 Heapster 组 件 来 检查 目标 部 署 内 Pod 的 平均 CPU 使 用 情况 ， 当 CPU 使 用 率 高 出 目标 值 ， 自 动 增加 Pod 数 ; 反之 


Heapster 是 一 套 监控 工具 ， 支 持 对 从 kubelet 中 采集 的 系统 数据 进行 整合 处 理 和 展示 ， 可 参考 https:/ /github.com/kubernetes/heapster。 


展 器 资源 ， 绑 定 到 部 署 对 象 上 ， 也 可 以 通过 autoscale 命 令 来 


户 可 以 显 式 定义 一 个 横向 扩 


$ kubect1 autoscale rc test rc --min=2 --max=5 --cpu-percent=80 


动 创建 ， 例 如 : 


会 自动 创建 一 个 复制 控制 器 ， 复 制 个 数 范围 为 2~5，CPU 利 用 率 的 目标 值 为 80%。 

注意 ， 当 使 用 复制 控制 器 进行 滚动 升级 时 ， 横 向 扩展 器 并 不 会 自动 绑 定 到 新 创建 的 复制 控制 器 上 。 

4. 服 务 (Service 

Kubernetes 主 要 面向 的 对 象 是 持续 运行 ， 并 且 无 状态 (stateless) 。 服 务 的 提出 主要 是 要 解决 Pod 地 址 可 变 的 问题 。 由 于 Pod 随 时 可 能 故障 ， 并 可 能 在 其 他 节点 上 被 重启 起 来 ， 它 的 地 址 是 不 能 保持 固 
定 的 。 因 此 ， 用 一 个 服务 来 代表 提供 某 一 类 功能 (可 以 通过 标签 来 筛选 ) 的 一 些 Pod， 并 分 配 不 随 Pod 位 置 变化 而 改变 的 虚拟 访问 地 址 (Cluster IP) 。 这 也 符合 微服 务 的 理念 。 

比如 网 站 的 后 端 服务 可 能 有 多 个 Pod 都 运行 了 后 端 处 理 程序 ， 它 们 可 以 组 成 一 个 服务 。 前 端 只 需要 通过 服务 的 唯一 虚拟 地 址 来 访问 即 可 ， 而 无 需 关 心 具体 是 访问 到 了 哪个 pod。 可 见 ， 服 务 跟 负载 均衡 


器 实现 的 功能 很 相似 。 


组 成 一 个 服务 的 Pod 可 能 属于 不 同 复制 控制 器 ， 但 服务 自身 是 不 知道 复制 控制 器 的 存在 的 。 


同样 ， 服 务 也 是 一 个 REST 对 象 ， 用 户 可 以 通过 模板 来 定义 一 个 服务 资源 : 


{ 
"kind": "Service"™, 
"apiVersion": "v1", 


"metadata": { 
"name": "web-service" 
ks 
"spec™": { 
"selector": { 
"app": "webApp" 


’ 
ECORESYS 下 
{ 
"protocol™": "TCP™, 
"port": 80, 
"targetPort": 80 
} 


这 个 模板 会 筛选 所 有 带 有 标签 app: webApp 的 Pod， 作 为 web-service， 对 外 呈现 的 访问 端口 为 80， 映 射 到 Pod 的 80 端 口上 。 


服务 在 创建 后 ， 会 被 自动 分 配 一 个 集群 地 址 (Cluster IP) ， 这 个 地 址 并 不 绑 定 到 任何 接口 


， 将 作为 访问 服务 的 抽象 地 址 。 访 问 该 地 址 会 被 映射 到 Pod 的 实际 地 址 。 实 现 上 是 通过 kube-proxy 进 程 。 每 


个 节点 上 都 会 运行 一 个 kube-proxy 进 程 ， 负 责 将 到 某 个 Service 的 访问 给 代理 或 者 均衡 到 具体 的 Pod 上 去 。 同 时 ， 会 为 每 一 个 服务 都 创建 环境 变量 ， 指 向 集群 地 址 ; 或 者 在 DNS 中 注册 该 服务 的 集群 地 址 。 


也 许 会 有 用 户 考虑 使 用 DNS 方式 来 蔡 代 服务 的 集群 |P 机 制 ， 这 是 完全 可 以 的 ，Kubernetes 也 提供 了 基于 skydns 的 插件 支持 。 但 是 要 处 理 好 DNS 查找 的 缓存 过 期 时 间 问题 。 当 某 个 Pod 发 生变 化 时 ， 要 让 


客户 端 本 地 的 DNS 缓存 过 期 。 


另外 ， 服 务 支持 进行 不 同类 型 的 健康 检查 (通过 容器 spec 中 的 livenessProbe 或 ReadinessProbe 字 段 定义 ) ， 目 前 包括 三 种 类 型 : 


“ 通过 HTTP 获 取 资 源 是 否 成 功 ; 


. 在 容器 中 执行 指定 命令 ， 返 回 值 是 否 为 0 


' 打开 给 定 socket 端 口 是 否 成 功 。 


探测 的 结果 可 能 为 成 功 、 失 败 或 未 知 。 其 中 LivenessProbe, 


27.2.3 ”辅助 概念 


1 标签 (Label) 


标签 是 一 组 键 值 对 ， 用 来 标记 所 绑 定 对 象 (典型 的 就 是 Pod) 的 识别 
外 ，Label 键 支持 通过 /来 添加 前 缀 ， 可 以 用 来 标注 资源 的 组 织 名 称 等 。 一 :| 


反映 的 是 容器 自身 状态 ， 如 果 配 置 了 重启 策略 ， 则 失败 状态 会 触发 自动 重启 ; 而 ReadinessProbe 字 段 用 来 反映 容器 内 的 服务 是 否 可 用 。 


属性 ， 进 而 可 以 分 类 。 比 如 name=apache|nginx、type=webldb、release=alphalbetalstable、tier=frontend|backend 等 。 另 
役 前缀 不 能 超过 253 个 字符 ， 键 名 不 能 超过 63 个 字符 。 


标签 所 定义 的 属性 是 不 唯一 的 ， 这 意味 着 不 同 资源 可 能 带 有 相同 的 标签 键 值 对 。 这 些 


2. 注 解 (Annotation) 


属性 可 以 将 业务 的 相关 信息 绑 定 到 对 象 上 ， 用 来 对 资源 对 象 进行 分 类 和 选择 过 滤 。 


注解 跟 标签 很 相似 ， 也 是 一 组 键 值 对 。 不 同 的 是 ， 注 解 并 不 是 为 了 分 类 资源 对 象 ， 而 是 为 了 给 对 象 增 加 更 丰富 的 描述 信息 。 这 些 信息 是 任意 的 ， 数 据 量 可 以 很 大 ， 可 以 包括 各 种 结构 化 、 非 结构 化 的 数 


常见 的 注解 包括 时 间 戳 、 发 行 信息 、 开 发 者 信息 等 。 


3. 选 择 器 (Selector) 


基于 资源 对 象 上 绑 定 的 标签 信息 ， 选 择 器 可 以 通过 指定 标签 键 值 对 来 过 滤 出 一 组 特定 的 资源 对 象 。 选 择 器 支持 的 语法 包括 : 基于 等 式 (Equality-based) 的 和 基于 集合 (Set-based) 的 。 


基于 等 式 的 选择 ， 即 通过 指定 某 个 标签 是 否 等 于 某 个 值 ， 例 如 env=production 或 者 tier! =frontend 等 。 多 个 等 式 可 以 通过 AND 逻 辑 组 合 在 一 起 。 


基于 集合 的 选择 ， 即 通过 指定 某 个 标签 的 值 是 否 在 某 个 集合 内 ， 例 如 env in(staging，production)。 


4 持久 卷 (PersistentVolume) 


PersistentVolume 即 容器 挂 载 的 数据 卷 ， 有 跟 Pod 一 致 的 4 


FE 命 周期 ，Pod 


存 过 程 (包括 秆 


E 启 ) 中 ， 数 据 卷 跟着 存在 ; Pod 退 出 ， 则 数据 卷 跟着 退出 。 


几 个 比较 常见 的 数据 卷 类 型 包括 : emptyDir、hostPath、gcePersistentDisk、awsElasticBlockStore、nfs、gitRepo、secret。 


:emptyDir: 当 Pod 创 建 的 时 候 ， 在 节点 上 创建 一 个 空 的 挂 载 目 录 ， 挂 载 到 容器 内 。 当 Pod 从 节点 离开 (例如 删除 掉 ) 的 时 候 ， 挂 载 目 录 内 数据 被 自动 删除 掉 。 节 点 上 的 挂 载 位 置 可 以 为 物理 硬盘 或 内 
存 。 这 一 类 的 挂 载 适用 于 非 持 久 化 的 存储 ， 例 如 跟 Pod 任 务 相 关 的 临时 数据 等 。 除 此 之 外 ， 其 他 存储 格式 大 都 是 持久 化 的 ; 


“ hostPath: 将 节点 上 某 已 经 存在 的 目录 挂 载 到 Pod 中 ，Pod 退 出 后 ， 节 点 上 的 数据 将 保留 ; 


:gcePersistentDisk: 使 用 GCE 的 Persistent Disk 服 务 ，Pod 退 出 后 ， 数 据 会 被 保留 ; 


awsElasticBlockStore: 使 用 AWS 的 EBS Volume 服 务 ， 数 据 也 会 被 持久 化 保留 ; 


: nfs: 使 用 nfs 协 议 的 网 络 存储 ， 也 是 持久 化 数据 存储 ; 


“ gitRepo: 挂 载 一 个 空 目录 到 Pod， 然 后 clone 指 定 的 git 仓 库 代 码 到 里 面 ， 适 用 于 直接 从 仓库 中 给 定 版 本 的 代码 来 部 署 应 用 ; 


“ sectet: 用 来 传递 敏感 信息 (如 密码 等 ) ， 基 于 内 存 的 tmpfs， 挂 载 临时 秘密 文件 ; 


其 他 类 型 还 包括 iscsi、flocker、glusterfs、rbd、downwardAPI、FlexVolume、AzureFileVolume 等 。 


持久 化 的 存储 以 插件 的 形式 提供 为 PersistentVolume 资 源 ， 用 户 通 过 请 求 某 个 类 型 的 PersistentVolumeClaim 资 源 ， 来 从 匹配 的 持久 化 存储 卷 上 获取 绑 定 的 存储 。 


资源 定义 仍然 通过 yml 或 json 格式 的 模板 文件 ， 例 如 定义 一 个 持久 化 存储 卷 : 


apiVersion: vl 
kind: PersistentVolume 
metadata: 
name: PV01 
spec: 


Capacity: 

storage: 100Gi 
accessModes: 

— ReadWriteOnce 
persistentVolumeReclaimPolicy: Recycle 
nfs: 

path: /tmp 

server: 192.168.0.2 


5. 秘 密 数 据 (Secret) 


秘密 数据 资源 用 来 保存 一 些 敏感 的 数据 ， 这 些 数据 (例如 密码 ) 往往 不 希望 别 的 
Secret 的 别名 即 可 使 用 。 


例如 ， 我 们 希望 通过 环境 变量 传递 用 户 名 和 密码 信息 到 一 个 Pod 中 。 


base64 进 行 编码 : 


首先 , 将 


户 名 和 密码 使 


户 看 到 ， 但 是 在 启动 某 个 资源 (例如 Pod) 的 时 候 需要 提供 。 通 过 把 敏感 数据 放 到 Secret 里 面 ， 


户 只 需要 提供 


$ echo "adminy" 
YWRtaWAK 

$ echo "admin pass" | base64 
YWRtaW5fcGFzcwo= 


| base64 


编写 一 个 Secret 的 对 象 模板 ， 添 加 前 面 的 base64 编 码 数据 : 


apiVersion: vl 

kind: Secret 

metadata: 
name: test secret 

type: Opaque 

data: 
password: YWRtaW5fcGFzcwo= 
username: YWRtaW4K 


通过 kubectl 创 建 秘密 数据 对 象 test_secret: 


$ kubect1 create -f ./secret.yaml 
secret "test_ secret" created 


通过 环境 变量 在 Pod 中 使 用 秘密 数据 : 


apiVersion: vl 
kind: Pod 
metadata: 
name: secret-test-pod 
spec: 
containers: 
- name: test-container 
image: nginx 
env: 
— name: SECRET USERNAME 
valueFrom: 
secretKeyRef: 
name: test secret 
key: username 
- name: SECRET PASSWORD 
ValueFrom: 
secretKeyRef: 
name: test secret 
key: password 
restartPolicy: Never 


在 对 应 容器 (secret-test-pod.test-container) 内 ， 通 过 环境 变量 $SECRET_USERNAME 和 $SECRET_PASSWORD 即 可 获取 到 原始 的 


此 外 ， 还 可 以 采 


在 整个 过 程 中 ， 只 有 秘密 数据 的 所 有 人 和 最 终 运 行 的 容器 (准确 的 说 ， 需 要 是 同一 个 服务 账号 下 面 的 ) 能 获取 原始 敏感 数 


6.UID 和 名 字 (Name) 


数据 卷 的 方式 把 秘密 数据 的 值 以 文件 形式 放 到 容器 内 。 通 常 ， 秘 密 数据 不 要 超过 1MB。 


UID 和 名 字 来 标识 对 象 。 其 中 ，UID 是 全 局 唯一 的 ， 并 且 不 能 


Kubernetes, 
的 资源 


名 和 密码 信息 。 


居 ， 只 接触 到 Pod 定 义 模板 的 人 是 无 法 获取 到 的 。 


; 而 名 字 则 仅仅 要 求 对 某 种 类 型 的 资源 (在 同一 个 命名 空间 内 ) 内 是 唯一 的 ， 并 且 当 某 个 资源 移 除 后 ， 其 名 字 可 以 被 新 


这 意味 着 ， 可 以 创建 一 个 pod 对 象 ， 命 名 为 test， 同 样 可 以 创建 一 个 复制 控制 器 ， 命 名 也 为 test。 一 般 名 字 字 符 串 的 长 度 不 要 超过 253 个 字符 。 


7. 命 名 空间 (Namespace) 


命名 空间 用 来 隔离 不 同 


Kubernetes 集 群 启动 后 ， 会 保留 两 个 特殊 的 命名 空间 : 
: default: 资源 未 指定 命名 空间 情况 下 ， 默 认 属 于 该 空间 ; 


“kube-system: 由 Kubernetes 系 统 自身 创建 的 资源 。 


名 ， 但 不 同 命名 空间 之 间 ， 人 允许 存在 


户 的 资源 ， 类 似 租户 或 项 目的 概念 。 同 一 个 命名 空间 内 资源 不 允许 村 


在 创建 资源 的 时 候 可 以 通过 --namespace=<some_namespace> 来 指定 所 属 的 命名 空间 。 


另外 ， 大 部 分 资源 都 属于 某 个 命名 空间 ， 但 部 分 特殊 资源 ， 如 节点 、 持 久 存储 等 不 属于 任何 命名 空间 。 


27.3 ”快速 体验 


Man 


名 。 


目前 ，Kubenetes 支 持 在 多 种 环境 下 的 安装 ， 包 括 本 地 主机 (Fedora) 、 云 服务 (Google GAE、AWS 等 ) ， 但 最 快速 体验 Kubernetes 的 方式 显然 是 在 本 地 通过 Docker 容 器 的 方式 来 快速 启动 相关 进 


程 。 


图 27-2 来 自 Kubernetes 官 方 ， 展 示 了 在 单 节 点 上 使 用 Docker 快 速 部 署 一 套 Kubernetes 的 拓扑 。 


Master/Worker Node 


Docker 


| etcd service proxy 


kubernetes master kubelet 


图 27-2 ”在 Docker 中 启动 Kubernetes 


1. 依 赖 镜像 

Kubernetes 通 过 Docker 容 器 方式 部 署 依赖 的 镜像 包括 : 

“ gcr.io/google_containers/hyperkube: 提供 所 有 的 Kubernetes 组 件 支持 ; 

. gcrio/google_containers/etcd: 提供 Etcd 数 据 库存 储 ; 

gcrio/google_containers/pause: 一 个 轻 量 级 的 基础 设施 容器 (不 到 1MB) ， 用 于 为 每 个 pod 提 前 创建 命名 空间 ， 其 他 什么 也 不 做 。 
2. 启 动 服务 


首先 ， 查 看 目前 gcr.io/google_containers/hyperkube 可 选 版 本 信息 : 


$ curl -k -s -X GET https://gcr.io/v2/google containers/hyperkube-amd64/tags/ 
list | jq -r '.tags[]' 
.0 


a 全 

.20 

V1.2.0-alpha.6 

V1.2.0-alpha.7 

V1.2.0-alpha.8 

V1.2.0-beta.0 

v1.2,.0-beta.l 

V1.2.1-beta.0 

V1.3.0-alpha.0 

这 里 选用 较 新 的 稳定 版 本 v1.2.0。 


本 地 启动 etcd 服 务 ， 监 听 到 默认 的 4001 端 口 。 读 者 可 自行 查阅 前 面 的 第 22 章 。 也 可 以 使 用 容器 方式 快速 启动 etcd 服 务 : 


$ docker run -d -p 4001:4001 gcr.io/google containers/etcd 


最 后 ， 可 以 通过 如 下 命令 来 一 次 性 部 署 并 启动 Kubernete 需 要 的 所 有 服务 : 


$ docker run \ 

—-volume=/:/rootfs:ro \ 

--volume=/sys:/sys:ro \ 

--volume=/var/1lib/docker/:/var/lib/docker:rw \ 

—-volume=/var/lib/kubelet/:/var/lib/kubelet:rw \ 

—-volume=/var/run:/var/run:rw \ 

--net=host \ 

--pid=host \ 

--privileged=true \ 

= 

gcr.io/google containers/hyperkube-amd64:v1.2.0 \ 

/hyperkube kubelet \ 
=--containerized \ 
--hostname-override="127.0.0.1" \ 
--address="0.0.0.0" \ 
—-api-servers=http://localhost:8080 \ 
—-config=/etc/kubernetes/manifests \ 
--cluster-dns=10.0.0.10 \ 
--cluster-domain=cluster.1local \ 
—-allow-privileged=true --v=2 


执行 后 查看 本 地 实际 启动 容器 ， 包 括 5 个 容器 : 1 个 kubelet 容 器 和 1 个 主 服务 Pod (包括 apiserver、scheduler、controller-manager 和 pause) : 


$ docker ps 
CONTAINER ID IMAGE 
COMMAND CREATED STATUS PORTS 


NAMES 

7960d23a6020 gcr.io/google containers/hyperkube:v1.2.0 
"/hyperkube scheduler" 2 minutes ago Up 2 minutes 
k8s_ scheduler.eafafaf4 k8s-master-127.0.0.1 default ba6eae9669ef0a03a0aa48 
b2f5df36a2_0c4d9e51 加 万 

5d59975ec667 gcr.io/google containers/hyperkube:v1.2.0 
"/hyperkube apiserver" 2 minutes ago Up 2 minutes 
k8s apiserver.ffcllaf8 k8s-master-127.0.0.1 default ba6eae9669ef0a03a0aa48 
Db2f5df36a2 8087ddee 一 加 本 

95644df5cc66 gcr.io/google containers/hyperkube:v1.2.0 
"/hyperkube controlle" 2 minutes ago Up 2 minutes 
k8s_controller-manager.672e021d k8s-master-127.0.0.1 default ba6eae9669ef0 
a03a0aa48b2f9df36a2 b767d196 

Ce8ac7c6f23a gcr.io/google containers/pause:0.8.0 
"/pause" 2 minutes ago Up 2 minutes 
k8s_POD.6d00e006 k8s-master-127.0.0.1 default ba6eae9669ef0a03a0aa48b2f9df 
36a2 affaf05b 

a063f246cd42 gcr.io/google containers/hyperkube-amd64:v1.2.0 
"/hyperkube kubelet -" 2 minutes ago Up 2 minutes 
gigantic kalam 


实际 上 ，Pod 中 的 各 个 容器 是 在 hyperkube-amd64: v1.2.0 镜 像 中 的 /etc/kubernetes/manifests/master 文 件 指定 的 ， 内 容 如 下 。 注 意 不 同 版 本 镜像 的 文件 内 容 可 能 略 有 不 同 : 


{ 
"apiVersion"; wi", 
"ens "oo 
"metadata": {"name":"k8s-master"}, 
"spec":{ 
"hostNetwork": true, 
"containers":[ 
{ 
"name": "controller-manager", 
"image": "gcr.io/google containers/hyperkube:v1.2.0", 
"command": [ 
"/hyperkube", 
"controller-manager", 
"--master=127.0.0.1:8080", 
"v=2" 


"name": "apiserver", 
"image": "gcr.io/google containers/hyperkube:v1.2.0", 
"command": [ 
"/hyperkube", 
"apiserver", 
"--service-cluster-ip-range=10.0.0.1/24", 
address=127.0.0.1", 
etcd-servers=http://127.0.0.1:4001", 
"--cluster-name=kubernetes"， 
"v2" 


"name": "scheduler", 
"image": "gcr.io/google containers/hyperkube:v1.2.0", 
"command": [ 

"/hyperkube", 

"scheduler", 

"--master=127.0.0.1:8080", 

"v=2" 


3. 测 试 状态 


此 时 ， 在 主机 访问 本 地 访问 8080 端 口 ， 将 获取 到 支持 的 部 分 API 列 表 : 


$ curl localhost:8080 
{ 
"paths": [ 

"yapim 
"/api/vi", 
"fap 
"/apis/extensions", 
"/apis/extensions/vlbetal", 
"/healthz", 
"/healthz/ping", 
"/1logs/", 
"/metrics", 
"/resetMetrics", 
"/swagger-ui/", 
"/swaggerapi/", 
i 
"/version" 


例如 ， 可 以 查看 版 本 信息 : 


$ curl localhost:8080/version 


"major™: 

"minor™: 

"gitVversion"; yl.2.0", 

"gitCommit": "5cb86ee022267586qb386f62781338b0483733b3"， 
"gitTreeState": "clean" 


通过 /api/v1 可 以 获取 支持 的 API 资 源 列表 ,例如 : 


$ curl localhost:8080/api/v1 
{ 
"kind": "APIResourceList", 
"groupVersion": "vi", 
"resources": [ 
{ 
"name": "bindings", 
"namespaced": true 
和 
{ 


"name": "componentstatuses", 
"namespaced": true 


"name": "endpoints", 

"namespaced": true 
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{ 


"name": "secrets", 


"namespaced": true 


"name": "serviceaccounts", 
"namespaced": true 


"name": "services", 
"namespaced": true 


户 还 可 以 进一步 通过 这 些 API 对 相关 资源 进行 CRUD 操 作 。 


当然 ， 除 了 AP 方式 之 外 ，Kubernetes 也 提供 了 现成 的 客户 端 操作 命令 : kubectl， 将 在 后 面 27.6 节 进行 介绍 。 


27.4 安装 部 署 


Kubernetes 安 装 包括 两 种 模式 ， 一 种 是 使 用 自 带 的 脚本 ， 另 一 种 是 手动 进行 配置 。 


Kubernetes 本 地 手动 部 署 多 节点 情况 相对 复杂 ， 需 要 提前 理解 其 基本 原理 和 各 个 组 件 。 


1. 使 用 脚本 安装 


Kubernetes 提 供 了 自 带 的 本 地 部 署 脚本 (支持 Ubuntu 14.04 LTS 系 统 ) ， 其 中 包括 三 个 节点 : 一 个 Master+Node， 两 个 Node。 通 过 Flanne| 方 案 作 为 后 端 网 络 实现 。 


(1) 预 配 置 


所 有 节点 上 需要 安装 Docker 和 bridge-utils， 并 且 Master 节 点 需要 能 访问 到 外 网 下 载 必要 的 软件 包 ，Node 节 点 需要 有 启动 Pod 所 需要 的 Docker 镜 像 。 


下 载 kubernetes 代 码 包 ， 并 切换 到 稳定 版 本 ， 如 release-1.2: 


$ git clone https://github.com/kubernetes/kubernetes.git --depth=1 
$ git checkout release-1.2 
$ cd kubernetes/cluster/ubuntu/ 


配置 信息 在 config-default.sh 文 件 中 。 


修改 下 面 一 行为 你 的 本 地 节点 的 实际 用 户 名 和 地 址 : 


export nodes=${nodes:-"vcap@10.10.103.250 vcap@10.10.103.162 vcap@10.10.103.223"} 


这 里 分 别 更 新 为 本 地 实际 节点 地 址 : 


export nodes=${nodes:-"ubuntu@192.168.122.22 ubuntue192.168.122.177 ubuntu@192. 
L681222:8*} 


修改 下 面 一 行为 你 需要 的 配置 角色 ，a 代 表 Master，i 代 表 Node， 会 对 应 到 上 面 指定 的 服务 器 列表 : 


role=${role:-"ai i i"} 


可 以 自行 配置 服务 使 用 的 集群 地 址 范围 ， 默 认为 192.168.3.0/24: 


export SERVICE CLUSTER IP RANGE=192.168.3.0/24 


另外 ， 还 有 flannel 的 数据 网 地 址 范 四 


， 默 认为 172.16.0.0/16: 


export FLANNEL NET=172.16.0.0/16 


(2) 开始 安装 


配置 完成 后 进入 上 层 的 kubernetes/cluster/ 目 录 ， 执行 安装 脚本 kube-up.sh。 


该 脚本 会 自动 下 载 flannel、etcd、kubernetes 等 的 压缩 包 (下 载 过 程 可 能 比较 慢 ， 推 荐 提前 下 载 好 ， 有 具体 参考 ubuntu/download-release.sh 脚 本 ) ， 然 后 对 各 个 节点 进行 配置 ， 最 后 对 启动 后 的 集群 
进行 校 验 ， 确 保安 装 成 功 : 


$ cd http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/.. 

$ KUBERNETES PROVIDER=ubuntu ./kube-up.sh 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... Starting cluster using provider: ubuntu 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... calling verify-prereqs 

Identity added: /home/ubuntu/.ssh/id rsa (/home/ubuntu/.ssh/id rsa) 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... calling kube-up 
~/kubernetes/cluster/ubuntu ~/kubernetes/cluster 

Prepare flannel 0.5.5 release http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
Prepare etcd 2.2.1 release http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
Prepare kubernetes 1.2.0 release http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/... 

Wrote config for ubuntu to /home/ubuntu/.kube/config 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... calling validate-cluster 
Found 3 node(s). 

NAME, LABELS STATUS AGE 
i92188.122.177 kubernetes.io/hostname=192.168.122.177 Ready <invalid> 
192.168:]22: 人 22 kubernetes.io/hostname=192.168.122.22 Ready <invalid> 
192.168.122. 顽 kubernetes.io/hostname=192.168.122.8 Ready <invalid> 
Validate output: 

NAME STATUS MESSAGE ERROR 

controller-manager Healthy ok nil 

scheduler Healthy ok TE 

etcd-0 Healthy {"health": "true"} nil 


Cluster validation succeeded 
Done, listing cluster services: 
Kubernetes master is running at http://192.168.122.22:8080 


由 于 我 们 指定 了 KUBERNETES_PROVIDER=ubuntu， 该 脚本 实际 上 调用 的 是 ubuntu 目录 下 的 脚本 。 


部 署 成 功 后 ，kubeconfig 文 件 在 用 户 目录 下 的 .kube/config 中 ， 记 录 了 集群 的 访问 信息 和 认证 信息 ， 例 如 : 


apiVersion: v1 
clusters: 
=- cluster: 
insecure-skip-tls-verify: true 
server: http://192.168.122.22:8080 
name: ubuntu 
Contexts : 
- context: 
cluster: ubuntu 
user: ubuntu 
name: ubuntu 
Current-context: Ubuntu 
kind: Config 
Preferences: {} 
users: 
- name: Ubuntu 
user:; 
password: EFMXYR1UurQuL4TB 
username: admin 


此 时 ， 可 以 通过 kubernetes/cluster/ubuntu/binaries 目 录 下 的 kubect| 客 户 端 跟 集群 进行 交互 ， 例 如 : 


$ cd ubuntu/binaries 

$ ./kubectl version 

Client Version: version.Info{Major:"1", Minor:"2", GitVersio 
"5cb86ee022267586db386f62781338b0483733b3"，GitTreeState:"clean"} 

Server Version: version.Info{Major:"1", Minor:"2", GitVersio v1.2.0", GitCommit: 
"5cb86ee022267586db386£62781338b0483733b3",，GitTreeState:"clean"} 

$ ./kubectl get nodes 


"V1.2.0", GitCommit: 


NAME STATUS AGE 

192.168.122.177 Ready 26m 

192.168.122.22 Ready 1h 

192.168.122.8 Ready 25m 

$ ./kubect1 get services 

NAME, CLUSTER IP EXTERNAL IP PORT (S) SELECTOR AGE 
kubernetes 192.168.3.1 <none> 443/TCP <none> 1h 


该 目录 下 还 包括 集群 各 个 节点 上 使 用 的 二 进 制服 务 文件 : 


$ tree . 

.| 一 kubectl 上 一 一 master etcd | 上 一 一 etcdctl | | 一 flanneld | 一 一 kube-apiserver | | 一 一 kube-controller-manager | [一 一 kube-scheduler minion 
| 一 一 flanneld 
| 一 一 kubelet 
-一 一 kube-proxy 


(3) Master 节 点 服务 


Master 节 点 (同时 也 是 Node 节 点 ) 上 服务 包括 kube-apiserver、kube-scheduler、kube-controller-manager、kubelet 和 kube-proxy: 


$ $ ps aux|grep kube 

root 29960 0.6 3.5 88080 72356 ? Ssl 14:56 0:13 
/opt/bin/kube-apiserver --insecure-bind-address=0.0.0.0 nsecure-port=8080 
~-etcd-servers=http://127.0.0.1:4001 --logtostderr=true -~-service-cluster-ip- 
range=192.168.3.0/24 --admission-control=NamespaceLifecycle,LimitRanger, 
ServiceAccount, ResourceQuota, SecurityContextDeny --service-node-port-range= 
30000-32767 --advertise-address=192.168.122.22 --client-ca-file=/srv/ 
kubernetes/ca.crt --tls-cert-file=/srv/kubernetes/server.cert --tls- 
private-key-file=/srv/kubernetes/server.key 

root 29961 0.3 1.7 49276 34508 ? Ssl 14:56 0:07 
/opt/bin/kube-controller-manager --master=127.0.0.1:8080 --root-ca-file= 
/srv/kubernetes/ca.crt --service-account-private-key-file=/srv/kubernetes 
/server.key --logtostderr=true 


root 29962 0.0 1.1 34796 23484 ? Ssl 14:56 0:00 
/opt/bin/kube-scheduler --logtostderr=true --master=127.0.0.1:8080 
root 29978 0.4 2.0 459496 41172 ? Ssl 14:56 0:10 


/opt/bin/kubelet --hostname-override=192.168.122.22 --api-servers= 
http://192.168.122.22:8080 --logtostderr=true --cluster-dns=192.168.3.10 
--cluster-domain=cluster,.local -~config= 

root 29981 0.0 0.9 29232 19428 ? Ssl 14:56 0:00 
/opt/bin/kube-proxy --hostname-override=192.168.122.22 --master= 
http://192.168.122.22:8080 --logtostderr=true 


(4) Node 节 点 服务 


Node 节 点 上 服务 则 简单 的 多 ， 包 括 kubelet 和 kube-proxy: 


$ ps aux|grep kube 

root 11347 0.5 2.1 418548 43352 ? Ssl 14:57 0:11 
/opt/bin/kubelet --hostname-override=192.168.122.177 --api-servers= 
http://192.168.122.22:8080 --logtostderr=true --cluster-dns=192.168.3.10 
--cluster-domain=cluster,.local -~-config= 

root 11348 0.0 0.9 29232 19644 ? Ssl 14:57 0:00 
/opt/bin/kube-proxy --hostname-override=192.168.122.177 --master= 
http://192.168.122.22:8080 --logtostderr=true 


(5) 管理 脚本 


kubernetes/cluster 也 提供 了 其 他 方面 用 户 进行 操作 的 管理 脚本 ， 主 要 包括 : 


“ kube-up.sh 部 署 一 个 kubernetes 集 群 ; 

“ kube-down.sh 停 止 一 个 kubernetes 集 群 ; 

: kubectLsh 通 过 kubect 命 令 来 对 集群 发 出 指令 ; 

“ kube-push.sh 升 级 一 个 已 有 的 集群 到 指定 版 本 ; 

“ validate-cluster.sh 执 行 一 些 校 验 操作 ， 确 保 集群 启动 成 功 ; 
“ get-kube-local.sh 快 速 部 署 一 个 单 节点 的 本 地 集群 。 


(6) 配置 DNS 


DNS 服务 在 Kubernetes 中 以 addon 形 式 存在 ， 可 以 在 集群 启动 后 选择 添加 ， 以 Pod 形 式 运行 在 集群 中 。Kubernetes 代 码 包 中 自 带 了 若干 addon， 都 在 cluster/addons/ 目 录 下 ， 包 括 了 DNS、 
dashboard、 负 载 均衡 、 监 控 等 。 


配置 选项 仍然 在 kubernetes/cluster/ubuntu/config-default.sh 文 件 中 ， 相 关 配 置 包括 : 


# Optional: Install cluster DNS. 

ENABLE CLUSTER DNS="${KUBE ENABLF CLUSTER DNS:-true}" 

# DNS SERVER IP must be a IP in SERVICE CLUSTER IP RANGE 
DNS_SERVER IP=${DNS SERVER IP:-"192.168.3.10"} 

DNS DOMAIN=${DNS DOMAIN:-"cluster.local"} 

DNS_REPLICAS=$ {DNS REPLICAS:-1} 


更 新 配置 后 ,执行 如 下 命令 ， 会 自动 创建 默认 的 Kube-system 命 名 空间 ， 并 启动 一 个 skydns 的 Pod: 


$ cd cluster/ubuntu 

$ KUBERNETES PROVIDER=ubuntu ./deployAddons.sh 

Creating kube-system namespacehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 
namespace "kube-system" created 

The namespace 'kube-system' is successfully created. 
Deploying DNS on Kubernetes 

replicationcontroller "kube-dns-v11" created 

service "kube-dns" created 

Kube-dns rc and service is successfully deployed. 

Creating Kubernetes Dashboard replicationController 
replicationcontroller "kubernetes-dashboard-v1.0.0" created 
Creating Kubernetes Dashboard service 

service "kubernetes-dashboard" created 


Node 上 实际 需要 依赖 的 Docker 镜 像 包括 gcr.io/google_containers/exechealthz: 1.0、gcr.io/google_containers/kube2sky: 1.14、gcr.io/google_containers/etcd-amd64: 2.2.1、 


gcr.io/google_containers/pause: 2.0。 
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第 一 次 创建 Pod 的 时 候 ， 如 果 本 地 没有 gct.io/google_containers/pause: 2.0 镜 像 ， 会 自动 下 载 。 如 果 出 现下 载 超时 间 题 ， 可 以 自行 搜索 镜像 tr 包 ， 通 过 docker load 命 令 来 添加 到 各 个 Node 节 点 上 。 建 议 本 地 
提前 准备 好 gcr.io 相 关 的 镜像 。 


(7) 配置 Web UI 


修改 配置 文件 kubernetes/cluster/ubuntu/config-default.sh， 相 关 配 置 包括 : 


ENABLE CLUSTER UI="${KUBE ENABLE CLUSTER UI:-true}™ 


同样 ， 更 新 配置 后 ， 执 行 如 下 命令 ， 会 自动 创建 默认 的 kube-system 命 名 空间 ， 并 启动 一 个 kubernetes-dashboard 的 Pod: 


$ cd cluster/ubuntu 
$ KUBERNETES PROVIDER=ubuntu ./deployAddons.sh 


实际 上 是 调用 如 下 命令 来 启动 服务 : 


$ kubect1 create -f cluster/addons/dashboard/dashboard-controller.yaml --namespace= 
kube-system 

$ kubect1 create -f cluster/addons/dashboard/dashboard-service.yaml --namespace= 
kube-system 


Node 上 依赖 的 Docker 镜 像 包 括 gcr.io/google_containers/kubernetes-dashboard-amd64: v1.0.0、gcr.io/google_containers/pause: 2.0。 


dashboard 服 务 提供 了 一 个 简单 的 Web 管 理 界面 ， 如 图 27-3 所 示 。 


kubernetes 


kube-dns-v11 View details dashboard-v1.0.0 


k8s-app: kube-dns kubernetes.io/cluster-service: true 3s-dashboard 


version: v11 Edit pod count ler-service: true 
1 pod running Logsv Logsv 


Image Age Delete Age 
gcr.io/google_cont.../etcd-amd64:2.2.1 48 minutes 5ard-amd64:v1.0.0 48 minutes 


gcr.io/google_cont...ers/Kube2sky:1.14 —— me External endpoint 


gcrio/google_con...015-10-13-8c72fBc 


gcrio/google_cont rs/exechealthz:1.0 kubernetes-dashb...be-system:80 TCP none 


Internal endpoint External endpoint 
kube-dns.kube-system:53 UDP none 
kube-dns.kube-system:53 TCP 


图 27-3 ”Kubernetes 的 Web 管 理 界 面 
(8) 查看 相关 信息 


首先 ， 查 看 集群 的 信息 ， 显 示 API 服 务 地 址 和 启动 服务 的 地 址 : 


$ ./kubect1 cluster-info 

Kubernetes master is running at http://192.168.122.22:8080 

KubeDNS is running at http://192.168.122.22:8080/api/v1/proxy/namespaces/kube- 
System/ services/kube-dns 

kubernetes-dashboard is running at http://192.168.122.22:8080/api/v1/PFroxy 
/namespaces/kube-system/services/kubernetes-dashboard 


查看 启动 的 服务 列表 ， 可 见 dns 和 dashboard 服 务 分 别 被 分 配 了 一 个 虚拟 的 ClusterlP: 192.168.3.10 和 192.168.3.231: 


$ ./kubectl get services 


--namespace=kube-system 


NAME CLUSTER-IP EXTERNAL-IP PORT (S) AGE 
kube-dns 192.158.3.10 <none> 53/UDP,53/TCP 3m 
kubernetes-dashboard ”192.168.3.231 <none> 80/TCP 3m 


可 以 进一步 


如 下 命令 获取 各 个 Pod 的 详细 信息 : 


$ ./kubectl get pods --namespace=kube-system -oo json 


在 Pod 所 在 的 Node 节 点 上 ， 可 以 查看 iptables 规 则 ， 查 看 访问 对 应 服务 的 流量 被 映射 到 相应 端 


172.16.72.2:9090: 


。 例 如 访问 dashboard 服 务 的 ClusterlP 192.168.3.231:80， 最 终 被 映射 到 了 Pod 地 址 


$ sudo iptables -nvL -t nat 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


Chain KUBE-SEP-2NKLTCPMR5LPTJA4 (1 references) 


pkts bytes target Prot opt in out source destination 
0 0 KUBE-MRRK-MASQ all -- * 交 了 2 二 6 过 0.0.0.0/0 /* kube-system/kube-dns:dns-tcp */ 
0 0 DNAT tep == * 将 0.0.0.0/0 0.0.0.0/0 /* kube-system/kube-dns:dns-tcp */ tcp to:172.16.75.2:53 
Chain KUBE-SEP-5TZPVMQGISGQSOMF (1 references) 
pkts bytes target prot opt in out source destination 
0 0 KUBE-MARK-MASQ all -- * 这 192.168.122.22 UD.0.0/0 /* default/kubernetes:https */ 
0 0 DNAT top =- * * 0.0.0.0/0 0.0.0.0/0 /* default/kubernetes:https */ tcp to:192.168.122.22:6443 
Chain KUBE-SEP-ORSWFLXGZDSJPSIA (1 references) 
pkts bytes target prot opt in out source destination 
0 0 KUBE-MARK-MASQ all -- * 天 172 L672 0.0.0.0/0 /* kube-system/kubernetes-dashboard: */ 
0 0 DNAT tmp 一 和 寺 ddaQ dd 0.0.0.0/0 /* kube-system/kubernetes-dashboard: */ tcp to:172.16.72.2:9090 
Chain KUBE-SEP-RZ30QFEV4AV6Q3AN2 (1 references) 
pkts bytes target prot opt in out source destination 
和 0 KUBR-MRARK-MRASQO all -- * * LTa L752 0.0.0.0/0 /* kube-system/kube-dns:dns */ 
0 0 DNAT udp 一 * * 0.0.0.0/0 0.0.0.0/0 /* kube-system/kube-dns:dns */ udp to:172.16.75.2:53 
Chain KUBE-SERVICES (2 references) 
pkts bytes target prot opt in out source destination 
0 0 KUBE-SVC-NPX46M4PTMTKRN6Y tcp -- * 0.0.0.0/0 192.168.3,1 /* default/kubernetes:https cluster IP */ tcp dpt:443 
0 0 KUBE-SVC-TCOU7TJCQXEZGVUNU udp -- * 吉 0.0.0.0/0 192.168.3.10 /* kube-system/kube-dns:dns cluster IP */ udp dpt:53 
0 0 KUBE-SVC-ERIEFXISQOEP7F7OF4 tcp -- * 这 0.0.0.0/0 192.168.3.10 /* kube-system/kube-dns:dns-tcp cluster IP */ tcp dpt:53 
0 0 KUBE-SVC-XGLOHA7QRQ3V22RZ tcP -- * 大 0.0.0.0/0 192,168.3.231 /* kube-system/kubernetes-dashboard: cluster IP */ tcp dpt:80 
0 0 KUBE-NODEPORTS all -- * * QD 0 0 O0000 /* kubernetes service nodeports; NOTE: this must be the last rule in this chain */ 
DRTYPE match dst-type LOCAL 
Chain KUBE-SVC-ERIFXISQEP7F7OF4 (1 references) 
pkts bytes target Prot opt in out source destination 
0 0 KUBE-SEP-2NKLTCPMR5LPTJR4 all -- * * 0.0.0.0/0 DdDaddyo /* kube-system/kube-dns:dns-tcp */ 
Chain KUBE-SVC-NPX46MAPTMTKRN6Y (1 references) 
pkts bytes target Prot opt in out source destination 
0 0 KUBE-SEP-5TZPVMOGISGQSOMF all -- * * 0.0.0.0/0 0.0.0.0/0 /* default/kubernetes:https */ 
Chain KUBE-SVC-TCOU7TJCQOXEZGVUNU (1 references) 
pkts bytes target prot opt in out source destination 
0 0 KUBE-SEP-RZ30QFEVAV6Q3AN2 all -- * 0.0.0.0/0 D0a0070 /* kube-system/kube-dns:dns */ 
Chain KUBE-SVC-XGLOHA7TORQ3V22RZ (1 references) 
pkts bytes target prot opt in out source destination 
0 0 KUBE-SEP-ORSWFLXGZDSJPSIA all -- * 六 0.0.0.0/0 0.0.0.0/0 /* kube-system/kubernetes-dashboard: */ 


2. 手 动 本 地 配置 


如 果 要 在 本 地 手动 安装 ， 需 要 对 环境 进行 一 系列 自 定义 的 配置 。 实 践 中 不 推荐 大 家 自 定安 装 ， 但 通过 了 解 这 个 过 程 可 以 加 深 对 Kubernetes 各 个 组 件 功能 的 理解 。 


(1) Node 节 点 配置 


首先 ， 要 取消 Docker-Engine 对 本 地 的 网 络 接管 ， 删 除 默认 的 docker0 网 桥 : 


$ sudo iptables -t nat -F 
$ ifconfig docker0 down 
$ brctl delbr docker0 


另外 ， 在 Docker 服 务 中 修改 默认 的 网 桥 信息 ， 如 果 使 


VXLAN 这 样 的 overlay 方 案 ， 还 需要 修改 MTU : 


DOCKER OPTS=" -H tcp://127.0.0.1:4243 -H unix:///var/run/docker.sock --bip= 
172.16.21.1/24 --mtu=1450" 


(2) 下 载 组 件 文件 


Kubernetes 也 提供 了 Linux 平 台 上 预 编译 好 的 各 个 组 件 文件 ， 方 便 搭建 本 地 集群 。 


从 github.com/kuberneteskubernetes/releases/latest 下 载 编译 好 的 二 进 制 执行 包 kubernetes.tar.gz， 并 解压 。 这 里 以 1.2.0 版 本 为 例 ， 其 他 版 本 需要 替换 地 址 中 版 本 号 为 对 应 版 本 号 。 


对 应 操作 如 下 : 


$ curl -L https://github.com/kubernetes/kubernetes/releases/download/v1.2.0/ 
kubernetes.tar.gz > kubernetes.tar.gz 
$ tar xzvf kubernetes.tar.gz 


解压 后 ， 进 入 kubernetes/server/ 子 目录 下 ， 并 解压 kubernetes-server-linux-amd64.tar.gz 文 件 ， 查 看 其 子 目 录 kubernetes/server/bin 下 的 文件 : 


$ cd kubernetes/server/ && tar xzvf kubernetes-server-linux-amd64.tar.gz 
$ 1s kubernetes/server/bin 
hyperkube 
kube-controller-manager .tar 
kube-apiserver kube-controller-manager 

kubect1 kube-scheduler linkcheck 
kube-apiserver.docker tag kube-controller-manager.docker tag 
kubelet kube-scheduler .docker tag 


kube-apiserver.tar 


kube-proxy kube-scheduler .tar 


可 以 看 到 ， 核 心 组 件 的 执行 文件 都 在 这 里 了 。 其 中 ，hyperkube 将 所 有 的 组 件 打包 在 了 一 起 ， 可 以 通过 子 命令 来 指定 作为 某 个 组 件 运行 。 


例如 


$ hyperkube kubelet http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/0EBPS/Text/... 


等 价 于 直接 运行 了 kubelet 组 件 。 


(3) Master 节 点 


首先 来 配置 Master 节 点 ， 主 要 包括 etcd、kube-apiserver、kube-scheduler、kube-controller-manager 等 。 用 户 也 可 以 启动 其 他 组 件 。 


1) 本 地 启动 etcd 服 务 ， 监 听 到 默认 的 4001 端 口 。 读 者 可 自行 查阅 前 面 的 第 22 章 。 


$ etcd 


2) kube-apiserver 配 置 ， 通 过 下 面 命令 启动 一 个 kube-apiserver， 监 听 在 本 地 的 非 安全 端口 10.0.100.88: 8080。 该 命令 没有 启用 安全 端 


， 所 以 可 能 会 有 警告 信息 ， 这 里 暂时 忽略 : 


$ kube-apiserver --service-cluster-ip-range=10.0.0.1/24 --etcd-servers= 
http://127.0.0.1:4001 --insecure-bind-address=10.0.100.88 


此 时 ， 从 其 他 节点 应 该 可 以 通过 http://10.0.100.88:8080 地 址 访问 到 API 列 表 信 息 。 


3) kube-scheduler 配 置 ， 只 需要 指定 Master 的 AP| 监 听 地 址 : 


$ kube-scheduler --master=10.0.100.88:8080 --address=10.0.100.88 


4) kube-controller-manager 配 置 ， 只 需要 指定 Master 的 API 监 听 地 址 : 


$ kube-controller-manager --master=10.0.100.88:8080 --address=10.0.100.88 


(4) Node 节 点 


Node 节 点 要 简单 得 多 ， 主 要 包括 kubelet 和 kube-proxy 两 个 组 件 。 


下 面 命令 可 以 启动 kubelet : 


$ sudo kubelet --address="0.0.0.0" --api-servers=http://10.0.100.88:8080 -- 
configure-cbr0=true 


此 时 ， 可 以 通过 API 查 看 到 注册 上 来 的 Node 节 点 了 : 


$ kubect1l -s 10.0.100.88:8080 get nodes 
NAME LABELS STATUS 
host-99 kubernetes.io/hostname=host-99 Ready 


下 面 命令 可 以 启动 kube-proxy: 


$ sudo kube-proxy --master=10.0.100.88:8080 


27.5 ”重要 组 件 


如 果 现 在 从 头 设计 一 套 容器 集群 管理 平台 ， 可 能 不 同人 最 终 设计 出 来 的 方案 是 不 相同 的 ， 但 相信 大 部 分 都 能 想到 如 下 几 个 方面 的 需求 : 


.要 采 用 分 布 式 架 构 ， 保 证 良好 的 可 扩展 性 ; 

* 控制 平面 要 实现 喜 辑 上 的 和 集中， 数据 平面 要 实现 物理 上 的 分 布 ; 
"得 有 一 套 资源 调度 系统 ， 负 责 所 有 的 资源 调度 工作 ， 要 容易 插 技 ; 
. 对 资源 对 象 要 进行 抽象 ， 所 有 资源 要 能 实现 高 可 用 性 。 


Kubernetes 中 的 节点 包括 两 种 类 型 : Master 节 点 负责 控制 ，Node 节 点 负责 干 活 ， 各 自 又 通过 若干 组 件 组 合 来 实现 。 


Master 节 点 上 组 件 主要 有 Etcd、apiserver、scheduler、controller-manager， 以 及 ui、DNS 等 可 选 插件 : 


“ Etcd: 作为 数据 库 ， 存 放 所 有 集群 相关 的 数据 ; 

“ kube-apiserver: Kubernetes 系 统 的 对 外 接口 ， 提 供 RESTful API 供 客户 端 和 其 他 组 件 调用 ， 支 持 水 平 扩展 。 

“ kube-scheduler: 负责 对 资源 进行 调度 ， 具 体 负责 分 配 菜 个 请 求 的 Pod 到 菜 个 节点 上 ; 

“ kube-controller-managet: 对 不 同 资源 的 管理 器 ， 包 括 节点 管理 器 、 复 制 管理 器 、 服 务 管理 器 、 权 限 管理 器 等 ; 
“ kube-ui; 自 带 的 一 套用 来 查看 集群 状态 的 Web 界 面 ; 


: DNS: 记录 启动 的 容器 组 和 服务 地 址 ; 


Node 节 点 上 主要 包括 kubelet、kube-proxy、 容 器 引擎 和 一 些 辅助 组 件 : 

“ kubelet: 节点 上 最 主要 的 工作 代理 ， 汇 报 节 点 状态 并 实现 容器 组 的 生命 周期 管理 ; 
“ kube-proxy: 代理 对 抽象 的 应 用 地 址 的 访问 ， 负 责 配置 正确 的 转发 规则 ; 

“ 容器 引擎 : 本 地 的 容器 依赖 ， 目 前 支持 Docker 和 tkt; 


“ 辅助 组 件 : supervisord 用 来 保持 kubelet 和 docker 进 程 运行 ，fluentd 用 来 转发 日 志 等 。 


其 他 组 件 : 包括 容器 资源 使 用 监控 、 日 志 记 录 、setup 脚 本 等 ， 这 些 组 件 可 以 任意 部 署 在 相同 或 者 不 同 机 器 上 ， 只 要 可 以 通过 标准 的 HTTP 接 口 相互 访问 到 即 可 ， 这 意味 着 对 Kubernetes 的 管理 组 件 进行 
扩展 将 变 得 十 分 简单 。 


下 面 分 别 介绍 这 些 组 件 的 作用 和 基本 用 法 。 


275:1 Eted 


Kubernetes 依 赖 Etcd 数 据 库 服务 来 记录 所 有 节点 和 资源 的 状态 。 可 以 说 ，Etcd 是 Kubernetes 集 群 中 最 重要 的 组 件 。apiserver 的 大 量 功 能 都 是 通过 跟 Etcd 进 行 交 互 来 实现 。 关 于 Etcd 数 据 库 的 详细 信 


息 ， 请 参考 之 前 的 第 22 章 。 


27.5.2 kube-apiserver 


作为 REST API 服 务 端 ，kube-apiserver 接 收 来 自 客户 端 和 其 他 组 件 的 请 求 ， 更 新 Etcd 中 的 数据 ， 是 响应 对 API 资 源 操作 的 最 前 端 组 件 。 一 般 推 荐 部 署 多 个 Kube-apiserver 来 提高 可 用 性 。 


可 以 通过 kube-apiserver-h 命 令 查看 服务 端 支持 的 参数 选项 ， 其 中 比较 台 


选 项 
--advertise-address= 


--allow-privileged[=fa 


--bind-address=0.0.0.0 


--cert-dir="/var/run/kubernetes" 


lsel] 


--cluster-name="kubernetes" 


--etcd-config="" 
--etcd-prefix="/regist 


--etcd-servers=[] 


--insecure-bind-address=127.0.0.1 


--insecure-port=8080 


--kubelet-port=10250 


--master-service-namespace= "default" 


--max-connection-bytes-per-sec=0 


--max-requests-infligh 
--profiling[=truel] 


--secure-port=6443 


ry" 


t=400 


--service-cluster-ip-range= 


--tls-cert-file="" 


--tls-private-key-file 


27.5.3 kube-scheduler 


要 的 配置 选项 参见 表 27-1。 


表 27-1 kube-apiservet 配 置 选 项 


说 明 
其 他 成 员 可 以 访问 apiserver 的 地 址 ， 默 认 跟 --bind-address 相同 
是 否 人 允许 容 需 获取 特权 权限 
提供 服务 的 端口 ， 包 括 --read-only-port 和 --secure-port ports ， 


默认 是 0.0.0.0 


启用 了 TLS 情况 下 ， 证 书目 录 路 径 

集群 别名 

etcd 客户 端 配置 文件 ， 跟 -etcd-servers 只 能 同时 使 用 一 个 
etcd 中 存储 资源 信息 的 路 径 前 绥 

etcd 服务 地 址 ， 跟 --etcd-config 只 能 同时 使 用 一 个 

非 安全 的 绑 定 地 址 

非 安全 的 监听 端口 ， 一 般 需 要 放 在 防火 墙 后 面 

kubelet 端口 

master 服务 处 理 Pod 的 默认 命名 空间 

对 连接 进行 限 速 

最 大 正在 处 理 的 请 求 数 ， 超 过 则 对 新 到 请 求 拒绝 

是 否 启用 profiling 功能 ， 在 host:port/debug/pprof/ 显示 调试 信息 
安全 端口 ， 启 用 了 TLS 认证 ; 

服务 虚 地 址 (Cluster IP) 的 网 段 ， 不 要 跟 物 理 地 址 冲突 
x509 证 书 文件 

x509 私 钥 文 件 ， 需 要 跟 --tls-cert-file 匹配 


kube-scheduler 负 责 具体 的 资源 调度 工作 ， 对 节点 进行 筛选 和 过 滤 。 当 收 到 资源 请 求 后 ， 负 责 按照 调度 策略 选择 最 合适 的 节点 运行 Pod。 


kube-scheduler 是 以 插件 形式 存在 的 ， 支 持 各 种 复杂 的 调度 策略 ， 确 保 Kubernetes 集 群 服务 的 性 能 和 高 可 用 性 。kube-scheduler 在 调度 上 考虑 服务 质量 、 软 硬件 限制 、 ( 抗 ) 亲 和 性 (affinity) 、 


locality、 工 作 负 载 交互 等 多 个 方面 。 


可 以 通过 kube-scheduler-h 命 令 查看 支持 的 参数 选项 ，] 


其 中 比较 重要 的 配置 选项 参见 表 27-2。 


表 27-2 ”kube-scheduler 配 置 选 项 


选 项 说 明 
--address=127.0.0.1 服务 监听 地 址 
--algorithm-provider="DefaultProvider" 调度 算法 ， 目 前 支持 DefaultProvider 


--alLlsologtostaerr [=false] 
--bind-pods-burst=100 
--bind-pods-qps=50 


--kubeconfig="" 


--master="" 


--policy-config-file="" 


--port=10251 


--profiling[=true] 


27.5.4 kube-controller-manager 


日 志 打印 到 文件 的 同时 ， 打 印 到 标准 错误 输出 
每 秒 钟 最 多 突 发 处 理 的 绑 定 操作 

每 秒 钟 最 多 持续 处 理 的 绑 定 操作 

kubeconfig 文件 路 径 ， 包 括 Master 位 置 和 认证 信息 


Master 的 API 地 址 ， 会 覆盖 kubeconfig 文件 中 


可 能 的 指定 

调度 策略 (policy) 配置 文件 

服务 监听 端口 

是 否 启 用 profiling， 监 听 在 host:port/ 
debug/pprof/ 


提供 控制 器 服务 ， 监 视 集群 的 状态 ， 一 旦 不 满足 状态 则 采取 操作 ， 让 状态 恢复 正常 ， 常 见 的 控制 器 包括 : 


“ 复制 (replication) 控制 器 : 确保 指定 Pod 同 时 存在 指定 数目 的 实例 ; 
“ 端点 (endpoint) 控制 器 : 负责 Endpoints 对 象 的 创建 ， 更 新 ; 
“节点 (Node) 控制 器 : 负责 节点 的 发 现 ， 管 理 和 监控 ; 


“ 命名 空间 (namespace) 控制 器 : 响应 对 命名 空间 的 操作 ， 如 创建 、 删 除 等 ; 


“ 服务 账户 〈ServiceAccounts) 控制 器 : 管理 命名 空间 中 的 ServiceAccount， 确 保 默 认 账 户 存在 于 每 个 正常 的 命名 空间 中 。 


可 以 通过 kube-controller-manager-h 命 令 查看 支持 的 参数 选项 ， 其 中 比较 重要 的 配置 选项 见 表 27-3。 


表 27-3 ”kube-controller-manager 配 置 选项 


选 项 
--address=127.0.0.1 
--allocate-node-cidrs[=false] 
--cluster-cidr= 
--cluster-name="kubernetes" 
--concurrent-endpoint-syncs=5 
--concurrent-namespace-syncs=2 
--concurrent-resource-quota- 
syncs=5 
--concurrent-rc-syncs=5 
--deleting-pods-burst=10 
--deleting-pods-qps=0.1 
--deployment-controller-sync- 
period=30s 
--kubeconfig="" 

--master="" 
--node-monitor-period=5s 
--port=10252 


--resource-quota-sync-period=10s 


说 有明 
服务 监听 地 址 
分 配 绑 定 到 各 个 节点 上 的 IP 地 址 范围 
Pod IP 地 址 的 CIDR 范围 
集群 名 称 


端点 同步 的 并 行 操作 数目 ， 越 多 性 能 越 好 ， 也 越 占 CPU 
命名 空间 同步 的 并 行 操作 数目 ， 越 多 性 能 越 好 ， 也 越 占 CPU 


资源 配额 同步 的 并 行 操作 数目 ， 越 多 性 能 越 好 ， 也 越 占 CPU 


复制 控制 器 同步 的 并 行 操作 数目 ， 越 多 性 能 越 好 ， 也 越 占 CPU 
节点 发 生 故 障 时 ， 同 时 突 发 删除 Pod 的 节点 数 
节点 发 生 故障 时 ， 每 秒 钟 删除 Pod 的 节点 数 


同步 部 署 的 时 间 间 隔 


kubeconfig 文件 路 径 

Kubernete API 服务 地 址 ， 如 果 kubeconfig 中 给 定 ， 则 覆盖 掉 
NodeController 同步 节点 状态 的 时 间 间 隔 

服务 监听 端口 

资源 配额 同步 的 时 间 间 隔 


27.5.5 kubelet 


kubelet 是 Node 节 点 上 最 重要 的 工作 程序 ， 它 是 负责 具体 干 活 的 ， 将 给 定 的 Pod 运 行 在 自己 负责 的 节点 上 。 


如 果 kubelet 出 现 故障 ， 则 Kubernetes 将 用 人 工 使 该 Node 变 得 不 可 用 。 因 此 ， 在 生产 环节 中 推荐 对 kubelet 进 程 进行 监控 ， 并 通过 诸如 supervisord 这 样 的 软件 来 及 时 重启 故障 的 进程 。 


另外 ， 一 般 要 通过 --system-reserved 和 --kube-reserved 参 数 为 系统 和 Kubernetes 组 件 预 留 出 运行 资源 ， 避 免 耗 尽 后 让 节点 挂 掉 。 


可 以 通过 kubelet-h 命 令 查看 支持 的 参数 选项 ， 其 中 比较 重要 的 配置 选项 见 表 27-4。 


表 27-4 kubelet 配 置 选项 


选 项 说 明 
--address=0.0.0.0 服务 监听 地 址 
--allow-privileged[=false] 是 否 允 许 容 右 获取 privileged 权限 
--api-servers=[] Kubernetes API 服务 的 监听 地 址 列表 
--boot-id-file="/proc/sys/kernel/random/ 


boot id 文件 
boot id" 


--cadvisor-port=4194 如 果 启 用 了 cadvisor， 配 置 本 地 端口 


由 


选 项 说 有明 
--cert-dir="/var/run/kubernetes" 访问 服务 端 时 的 TLS 证 书目 录 
--cluster-dns= 集群 使 用 的 DNS 服务 器 ， 配 置 后 会 添加 到 容器 
--cluster-domain="" 搜索 域 ， 配 置 后 会 添加 到 容器 
--config="" 配置 文件 路 径 
--configure-cbr0 [=false] 是 否 配 置 默 认 的 cbr0 网 桥 
--container-runtime="docker" 容器 引擎 ， 可 以 为 "dccker'!， 'rkt' 
--containerized[=false] 运行 kubelet 自身 在 一 个 容器 里 
--cpu-cfs-quota[=false] 是 否 支 持 对 容器 CPU 的 CFS 配额 限制 
--docker="unix:///var/run/docker.sock" Docker 服务 访问 路 径 
--docker-root="/var/lib/docker" Docker 状态 根 目 录 
-~-docker-run="/var/run/docker" Docker 运行 时 目录 
--healthz-bind-address=127.0.0.1 healthz 服务 监听 地 址 
--healthz-port=10248 healthz 服务 监听 端口 
--image-gc-high-threshold=90 触发 对 镜像 进行 垃圾 回收 时 候 的 硬盘 使 用 率 
--image-gc-low-threshold=80 低 于 该 值 ， 则 不 对 镜像 进行 垃圾 回收 
--kube-api-burst=10 调用 apiserver 的 峰值 上 限 
--kube-api-gqps=5 调用 apiserver 的 平均 值 上 限 
--kubeconfig="/var/lib/kubelet/kubeconfig" kubeconfig 配置 文件 路 径 
--kube-reserved="" 系统 为 Kubernetes 组 件 的 运行 预 留 出 来 的 资源 
--max-open-files=1000000 kubelet 进程 最 大 打开 的 文件 数 
--max-pods=40 最 多 运行 的 Pod 数目 
--maximum-dead-containers=100 保留 处 于 dead 状态 的 容器 全 局 上 限 
--network-plugin="" 网 络 插件 
-— - in-dir="/usr/libexec 

Ne ere 网 络 捕 件 搜索 路 径 
--node-ip="" 节点 IP 地 址 ; 
--node-labels="" 给 节点 打上 标签 ; 
--node-status-update-frequency=10s 多 久 向 Master 汇报 一 次 节点 状态 
--port=10250 服务 监听 端口 
--root-dir="/var/lib/kubelet" kubelet 管理 文件 目录 
--system-reserved="" 为 系统 预 留 出 一 定 资源 ， 避 免 节点 资源 耗 尽 


27.5.6 kube-proxy 


kube-proxy 会 监听 在 每 一 个 Node 节 点 上 ， 负 责 把 对 应 服务 端口 来 的 通信 映射 给 后 端 对 应 的 Pod。 简 单 的 说 ， 它 既是 一 个 NAT (支持 TCP 和 UDP) ， 同 时 也 有 负载 均衡 (目前 仅 支 持 TCP) 的 功能 。 


例如 ， 服 务 test-service 定 义 服务 端口 为 80， 实 际 映射 到 大 量 Pod 的 8080 端 口上 : 


{ 
"kind": "Service", 
"apiVersion": "1", 
"metadata": { 
"name": "test-service" 


}, 
"spec": { 
"selector": { 
"app": "webapp"™ 


Fa 
porte"™: [ 
{ 


protocolrs "TCP 
"port": B07 
"targetPort": 8080 
} 
] 
} 


则 kube-proxy 会 自动 配置 本 地 的 iptables rales 规 则 ， 一 旦 有 网 包 (client) 想 访问 服务 的 80 端 口 ， 将 到 达 的 网 包 转发 到 某 个 绑 定 Pod 的 8080 端 口 。 在 1.2.0 版 本 开始 ，kube-proxy 已 经 默认 完全 通过 
iptables 来 配置 对 应 的 NAT 转 发 过 程 ， 自 身 不 再 参与 转发 过 程 ， 如 图 27-4 所 示 。 


Backend Pod #1 
label: app=webapp 
port: 8080 


Backend Pod #2 
label: app=webapp 
port: 8080 


Backend Pod #3 
label: app=webapp 
port: 8080 


Kubernetes API Server 
Client 


lptables rules 
| Cluster IP 


kube-proxy 


27-4 ”kube-proxy 运 行 机 制 


kube-proxy 默 认 采 用 轮 询 的 负载 均衡 算法 ， 并 且 支 持 亲 和 性 。 例 如 如 果 配 置 service.spec.sessionAffinity 为 ClientIP， 则 同一 个 客户 端 发 过 来 的 多 个 请 求 会 转发 给 同一 个 后 端的 Pod， 保 证 了 会 话 一 臻 
性 。 具 体 实现 上 ， 在 早期 版 本 中 采用 用 户 态 的 程序 来 转发 ， 现 在 已 经 逐渐 转换 到 基于 Linux lptables 的 更 高 效 转发 机 制 。 


可 以 通过 kube-proxy-h 命 令 查 看 支持 的 参数 选项 ， 其 中 比较 重要 的 配置 选项 参见 表 27-5。 


表 27-5 ”kube-proxy 配 置 选项 


选 项 说 明 
--bind-address=0.0.0.0 服务 监听 地 址 
--cleanup-iptables [=false] 清除 所 有 的 iptables 规则 然后 退出 
--healthz-bind-address=127.0.0.1 健康 检查 服务 监听 地 址 
--healthz-port=10249 健康 检查 服务 监听 端口 
--iptables-sync-period=30s 刷新 ijptables 规则 的 时 间 
--kubeconfig="" kubeconfig 文件 所 在 路 径 
--masdquerade-all[=falsel] 如 果 用 纯 ijptables 的 转发 ， 对 所 有 流量 都 做 NAT 
--master="" Kubernetes API 服务 地 址 


代理 的 模式 ， 包括 旧版 本 的 'userspace' 模式 或 较 新 
的 'iptables' 模式 ( 自 1.2.0 开始 默认 启用 ) 


--proxy-mode="" 


--proxy-port-range= Node 节点 上 代理 服务 端口 的 范围 ， 默 认为 所 有 
--resource-container="/kube-proxy" 资源 容器 名 


UDP 连接 认为 打开 的 超时 ， 仅 当 使 用 proxy-mode= 


--udp-timeout=250ms 
P userspace 时 生效 


27.6 ”使 用 kubectl 


kubectl 是 Kubernetes 自 带 的 客户 端 ， 封 装 了 对 Kubernetes API 的 调用 ， 可 以 用 它 直 接 通 过 高 级 命令 跟 Kubernetes 集 群 进行 便捷 的 交互 。 掌 握 了 kubectl 命 令 ， 就 掌握 了 对 Kubernetes 集 群 进行 使 用 和 
管理 的 绝 大 部 分 操作 。 


27.6.1 获取 kubectl 


kubectl 在 发 行 版 的 二 进 制 包 中 带 有 ， 位 于 kubernetes/server/kubernetes/server/bin/ 目 录 下 。 用 户 也 可 以 自行 下 载 编译 好 的 文件 使 用 。 


例如 下 载 1.2.0 版 本 的 kubectl， 可 以 用 下 面 的 命令 。 其 他 版 本 注意 修改 URL 中 的 版 本 信息 : 


$ wget http://storage.googleapis.com/kubernetes-release/release/v1.2.0/bin/ 
linux/amd64/kubectl 


27.6.2 命令 格式 


可 以 通过 kubectl help[subcommand] 命 令 查看 命令 格式 和 支持 的 子 命令 信息 。 


使 用 的 主要 格式 为 : 


kubect1 [global-flags] [subcommand] [RESOURCE TYPE] [NAMEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPSVText/...] [subcommar 


其 中 ，subcommand 为 要 执行 的 动作 ， 如 get、describe、create、delete 等 ，NAME 为 某 个 资源 类 型 下 面 的 若干 对 象 名称 。 
RESOURCE_TYPE 为 要 操作 的 资源 的 类 型 ， 见 表 27-6。 


表 27-6 ”kubectl 命 令 资源 类 型 说 明 


类 型 说 明 

componentstatuses |cas 组 件 状 态 

II 区 集 ， 保 证 一 个 应 用 每 个 节点 上 运行 同样 的 Pod， 并 且 只 运 
行 一 个 

deployments 部 署 

eVents | eV 事件 

endpoints|ep 服务 端点 

horizontalpodautoscalers|hpa Pod 自动 扩展 需 

ingresses|ing 7 层 服务 访问 入 口 

jobs 任务 ， 确 保 成 功 完成 的 Pod 达到 某 个 数目 

limitranges|limits 限制 的 范围 

nodes|no Node 节点 

namespaces |ns 命名 空间 

pods |po Pod 资源 

persistentvolumes|pv 持久 化 存储 卷 

persistentvolumeclaims|pvc 持久 化 存储 卷 声 明 

replicationcontroller|rc 复制 控制 大 

resourcequotas |quota 资源 的 配额 

secrets 秘密 数据 

serviceaccounts 服务 的 账户 

services|svc 服务 


通过 kubectI 可 以 对 这 些 资源 进行 生命 周期 管理 ， 包 括 创建 、 删 除 、 修 改 、 查 看 等 操作 。 


27.6.3 ”全 局 参数 


这 些 参数 主要 是 配置 命令 执行 的 环境 信息 ， 可 以 在 执行 具体 子 命令 时 候 使 用 ， 参 见 表 27-7。 


表 27-7 kubectl 全 局 参数 


类 型 参 数 说 明 
--alsologtostderr=false 日 志 信 息 同时 输出 到 标准 错误 输出 和 文件 
每 输出 者 干 行 日 志 消 息 就 打印 一 条 backtrace 信息 用 
来 追踪 调用 栈 


--log-backtrace-at=:0 


站 入 志文 伯 到 几 定 下 

日 志 相关 执行 日 志 消息 刷新 的 间隔 
日 志 信息 输出 到 标准 错误 输出 ， 不 输出 到 文件 
超过 等 级 的 日 志 信息 输出 到 标准 错误 输出 
对 日 志 进 行 过 滤 时 的 模式 设置 


( 续 ) 


类 型 说 明 
--certificate-authority="" CA 认证 的 cert 文件 路 径 
--client-certificate="" TLS 认证 时 候 需 要 的 客户 端 证 书 文 件 
--client-key="" TLS 认证 时 候 需 要 的 客户 端 秘 钥 文件 
--insecure-skip-tls-verify= 

认证 相关 不 检查 服务 端的 TLS 证 书信 息 


false 
--password="" 
--username="" 
--token="" 
--api-version="" 
--cluster="" 


--context="" 


--kubeconfig="" 


API 服务 端 采 用 基本 认证 时 的 密码 
API 服务 端 采 用 基本 认证 时 的 用 户 名 
API 服 务 端的 token 认证 信息 
指定 API 版 本 

配置 的 集群 名 称 
当前 操作 的 集群 名 称 

kubeconfig 文件 路 径 


其 他 配置 --match-server-version=false 要 求 服务 端 版 本 跟 客 户 端 版 本 一 致 


--namespace="" 


--Server="" 


1 
~ 


一 -USeLr="" 


--validate=false 


27.6.4 子 命 令 


子 命令 参见 表 27-8。 


get 

describe 

create 

replace|lupdate 

patch 

delete 

edit 

apply 

logs|log 
rolling-update|rollingupdate 


scale 


cordon 


Ri 
溢 


请 求 的 命名 空间 

Kubernetes API 服务 端的 地 址 和 端口 
kubeconfig user 使 用 的 用 户 名 

发 送 请 求 前 是 否 先 在 客户 端 进行 校 验 


表 27-8 ”kubect1 子 命令 及 其 说 明 


说 明 

显示 给 定 资 源 的 信息 

显示 给 定 资源 (组 ) 的 详细 信息 

创建 一 个 资源 

替代 / 更 新 一 个 资源 

更 新 一 个 资源 的 域 信息 ， 即 给 资源 打 补 丁 

删除 一 个 资源 

调用 本 地 编辑 器 ， 直 接 编辑 API 资源 ， 十 分 便利 的 功能 

应 用 配置 到 给 定 资源 ， 资 源 如 果 不 存在 会 自动 创建 。 可 以 用 来 修改 
资源 的 信息 

打印 一 个 Pod 中 某 个 容器 的 logs 信息 (docker logs 命令 输出 信息 ) 

对 某 个 复制 控制 器 进行 滚动 升级 ， 即 通过 每 次 仅 更 新 一 个 Pod 的 方 
式 来 平滑 的 过 渡 到 新 的 部 署 上 

对 某 个 复制 控制 器 的 份 数 进 行 调整 

标记 一 个 节点 为 不 可 调度 状态 。 当 节点 出 现 故障 时 候 ， 可 以 避免 调 
度 资 源 上 去 


心 


drain 


uncordon 
attach 

exec 
port-forward 


proxy 


run|lrun-container 


expose 


autoscale 


rollout 
label 
annotate 
config 
cluster-info 
api-versions 
version 
explain 


convert 


下 面 详细 介绍 部 分 子 命令 。 


1.get 


说 明 


( 续 ) 


将 节点 资源 从 节点 上 迁移 出 去 (删除 掉 Pod， 并 不 可 调度 资源 )。 可 
以 用 于 在 对 节点 进行 维护 前 让 工作 资源 从 节点 上 调度 出 去 


恢复 节点 为 可 调度 状态 ， 
贴 附 到 某 个 容 句 上， 类 似 
在 给 定 Pod 中 执行 命令 ， 
映射 本 地 端口 到 Pod 


可 以 分 配 工作 负载 过 来 了 
Docker 的 attach 命令 


类 似 Docker 的 exec 指令 


本 地 创建 一 个 访问 Kubernetes API 服务 的 代理 


运行 容器 (默认 在 后 台 )， 
动 创建 一 个 部 署 或 者 任务 来 


类 似 Docker 的 run 
管理 创建 的 容 需 


-d 指 


仿 


。 默 认 会 自 


使 用 给 定 的 复制 控制 器 、Pod 或 者 服务 等 资源 的 选择 器 ， 发 布 为 新 


的 服务 


自动 根据 需求 来 扩展 一 个 部 署 (或 复制 控制 锅 ) 中 的 Pod 数目 。 类 
似 AWS 中 自动 扩展 组 的 概念 


对 一 个 部 署 进行 操作 
更 新 一 个 资源 的 标签 信息 


自 更 新 一 个 资源 的 注解 信息 


修改 kubecontfig 文件 


显示 一 个 集群 的 信息 。 包 括 API 服务 端 地 址 ， 启 动 的 服务 等 


显示 支持 的 API 版 本 信息 


打印 客户 端 和 服务 端的 版 本 信息 
显示 资源 类 型 的 说 明文 档 。 可 以 快速 查看 某 个 资源 的 解释 


转换 配置 文件 到 其 他 API 


版 本 


命令 格式 为 kubectl get[(-o|--output=)jsonlyamlltemplate|widelhttp://www.hzcourse.cory/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/…] 


支持 的 参数 主要 包括 : 
“ --all-namespaces=false: 是 否 列 出 所 有 的 命名 空间 中 的 资源 ; 


“ 工 ，--label-columns=[: 通过 标签 来 过 滤 显 示 的 资源 ; 


“ -0，--output=": 输出 信息 的 格式 ， 包 括 json|yaml|template|templatefile|wide; 


' -1，--selector="": 通过 selectot 来 过 滤 输 出 ; 
“ -t，--template="": 模板 字符 串 或 golang 模 板 文件 路 径 ; 
'， -w，--watch=false: 持续 监测 输出 对 象 的 变化 。 


例如 ， 获 取 集群 中 节点 的 列表 : 


(RESOURCE[NAME]IRESOURCE/NAMEhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/...)[flags]。 


$ kubect1 get nodes 
NAME LABELS STATUS 
127.0.0.1 kubernetes.io/hostname=127.0.0.1 


Ready 
获取 集群 中 Pod 的 列表 : 
$ kubect1 get pods 
NAME READY STATUS RESTARTS AGE 
k8s-master-127.0.0.1 3/3 Running 0 2d 


2.describe 


显示 给 定 资源 (组 ) 的 详细 信息 。 


命令 格式 为 kubectl describe(RESOURCE NAME_PREFIXIRESOURCE/NAME)[flags]。 


支持 的 参数 主要 有 : -|，--selector=""， 通 过 selector 来 过 滤 输 出 。 例 如 ， 仅 显示 带 有 name=myLabel 标 签 的 Pod : 


$ kubect1l describe po -1 name=myLabel 


3.create 
创建 一 个 资源 。 


命令 格式 为 kubectl create-f FILENAME[flags]。 


支持 的 参数 主要 有 -f，--filename=[]， 创 建 资源 的 模板 文件 所 在 的 路 径 或 URL。 例 如 ， 创 建 一 个 test_pod.yml 文 件 ， 内 容 为 : 


apiVersion: vl 
kind: Pod 
metadata: 

name: nginx 

labels: 
name: nginx 

spec: 

containers: 

— name: nginx 
image: nginx 
ports: 

- containerPort: 80 


然后 执行 如 下 命令 创建 Pod 资 源 。 


$ kubectl] create -f test pod.yml 
pods/nginx 


Oi 
这 里 直接 操作 Pod 仅 为 了 演示 命令 ， 一 般 情况 下 推荐 通过 复制 控制 器 来 操作 Pod。 


查看 多 出 来 一 个 新 的 Pod: 


$ kubect1 get pods 


NAME, READY STATUS RESTARTS AGE 
k8s-master-127.0.0.1 3/3 Running 0 2d 
nginx 1/1 Running 0 7s 


通过 describe 命 令 来 查看 具体 信息 ， 检 查 结果 跟 模 板 中 定义 一 致 : 


$ kubectl describe po -1 name=nginx 


Name: nginx 
Namespace: default 
Image (s): nginx 
Node: 127.0.0 .1/127.0.0:1 
Labels: name=nginx 
Status: Running 
Reason: 
Message: 
Ts 二 7 有 .证 了 .站 
Replication Controllers: <none> 
Containers: 
nginx: 
Image: nginx 
State: Running 
Started: Mon, 07 Mar 2016 11:04:52 +0800 
Ready: True 
Restart Count: 0 
Conditions: 
Type Status 
Ready True 
Events: 
FirstSeen LastSeen Count 
Mon, 07 Mar +0800 Mon, 07 Mar 2016 +0800 1 
Mon, 07 Mar +0800 Mon, 07 Mar 2016 +0800 1 
Mon, 07 Mar +0800 Mon, 07 Mar 2016 +0800 1 
Mon, 07 Mar +0800 Mon, 07 Mar 2016 +0800 1 
Mon, 07 Mar +0800 Mon, 07 Mar 2016 +0800 1 
Mon, 07 Mar :52 +0800 Mon, 07 Mar 2016 11 :52 +0800 1 
Mon, 07 Mar 2016 11:04:52 +0800 Mon, 07 Mar 2016 11:04:52 +0800 1 


From 


{scheduler } 


{kubelet 
{kubelet 
{kubelet 
{kubelet 
{kubelet 
{kubelet 


LT 
Es 
127: 
Tals 
Tei, 
L2Ts 


Oooooo 


口 口 口 口 口 口 


SubobjectPath 


implicitly required container POD 
implicitly required container POD 
implicitly required container POD 
spec.containers{nginx} 
spec.containers{nginx} 
spec.containers{nginx} 


Reason 
Scheduled 
Pulled 
Created 
Started 
Pulled 
Created 
Started 


Message 

Successfully assic 
Container image "c 
Created with docke 
Started with docke 
Container image "r 
Created with docke 
Started with docke 


4.replacelupdate 


替代 /更 新 一 个 资 


命令 格式 为 kubectl replace-f FILENAME[flags]。 


支持 的 参数 主要 有 : 


“ -f，--flename=[: 用 来 蔡 代 资源 的 模板 文件 所 在 的 路 径 或 URL; 


资源 平缓 终止 的 等 待 时 间 ; 


* -grace-period= 


“ --force=false: 删除 并 重建 指定 次 


例如 ， 用 户 可 以 修改 test_pod.yml 中 容器 镜像 后 ， 用 新 的 Pod 蔡 代 原 来 Pod: 


$ kubect1 replace -f test pod.yml 


5.patch 
更 新 一 个 资源 的 域 信息 ， 即 给 资源 打 补 丁 。 


命令 格式 为 kubectl patch RESOURCE NAME-p PATCH[flags]。 


支持 的 参数 主要 有 -p，--patch=""， 补 丁 内 容 。 例 如 ， 用 户 可 以 修改 一 个 节点 的 spec 值 : 


$ kubect1 patch node k8s-node-l1 -p '{"spec":{"unschedulable":true}}' 


6.delete 
删除 一 个 资源 。 
命令 格式 为 kubectl delete([-f FILENAME]|(RESOURCE[(NAME|-| label|--all)][flags]。 


支持 的 参数 主要 有 : 


“ --all=false: 选取 所 有 指定 资源 ; 

“ -f，--filename= 上 |: 资源 模板 文件 所 在 的 路 径 或 URL; 

“ --grace-period=-1: 资源 平缓 终止 的 等 待 时 间 ; 

“ --ignore-not-found= 鲁 se: 忽略 没 找到 资源 情况 下 的 报警 信息 ; 

“ 1，--selector="": 通过 selector 来 过 滤 资 源 ; 

“ --timeout=0; 等 竺 超时，0 表 示 从 删除 对 象 的 大 小 来 计算 超时 。 


例如 ,删除 刚 创建 的 Pod: 


$ kubect1 delete -f test-pod.yml 


7.edit 


调用 本 地 编辑 器 ， 直 接 编辑 AP| 资 源 ， 十 分 便利 的 功能 。 


命令 格式 为 kubectl edit(RESOURCE/NAME|-f FILENAME)[flags]。 


支持 的 参数 主要 有 : 


“ -f，--flename=[: 资源 模板 文件 所 在 路 径 、 目 录 或 者 URL; 
-0，--Output="yaml": 输出 资源 格式 ， 包 括 yaml|json; 

“ --output-version=""; 输出 指定 版 本 的 API 资 源 ; 

: --record[=false]: 记录 kubectl 命 令 到 资源 的 注解 中 ; 

“ --save-config[=false]: 保存 配置 信息 到 资源 注解 中 ; 

“ --windows-line-endings[=false]: 使 用 Windows 格 式 的 换行 符 。 


8.apply 


应 用 配置 到 给 定 资源 ， 资 源 如 果 不 存在 会 自动 创建 。 可 以 用 来 修改 资源 的 信息 。 


命令 格式 为 kubectl apply-f FILENAME[flags]。 


支持 的 参数 主要 有 : 


. -f，--flename=[|: 资源 模板 文件 所 在 路 径 、 目 录 或 者 URL; 
“ -0，--output="": 输出 模式 ， 用 来 过 滤 输 出 信息 等 ; 
“ --tecord[=false]: 记录 kubectl 命 令 到 资源 的 注解 中 ; 
-schema-cache-dit="~/.kube/schema": API 的 scheme 文 件 路 径 ; 
“ --validate[=true]: 执行 命令 前 是 否 使 用 scheme 对 输入 进行 校 验 。 
9.logsllog 
打印 一 个 Pod 中 某 个 容器 的 logs 信 息 (docker logs 命 令 的 输出 信息 ) 。 
命令 格式 为 kubectl logs[-fl[-p]POD[-c CONTAINER][flags]。 


支持 的 参数 主要 有 : 


.ec，--container="; 容器 名 称 ， 如 果 Pod 中 仅 有 一 个 容器 则 可 以 忽略 ; 
“ -f，--follow=false: 是 否 持续 跟踪 输出 信息 ， 类 似 tail 命 令 的 -f 选 项 ; 

' --intetractive=true: 是 否 支持 交互 ; 

: -p，--previous=false: 输出 此 前 (已 停止 ) 容器 实例 的 信息 。 


例如 ， 输 出 myPod 中 容器 test_container 的 logs 信 息 : 


$ kubect1 logs myPod test_container 


10.rolling-updatelrollingupdate 


对 某 个 复制 控制 器 进行 滚动 升级 ， 即 通过 每 次 仪 更 新 一 个 Pod 的 方式 来 平滑 的 过 渡 到 新 的 部 署 上 。 
命令 格式 为 kubectl rolling-update OLD_CONTROLLER_NAME([INEW_CONTROLLER_NAME]--image=NEW_CONTAINER IMAGE|-f NEW_CONTROLLER_SPEC)[flags]。 


支持 的 参数 主要 有 : 


“ --deployment-label-key="deployment": 默认 用 于 进行 区 分 的 标签 ; 

“ -dry-run=false: 输出 模拟 执行 的 改动 ， 但 实际 上 不 执行 ; 

“ -f，--filename="": 创建 新 的 复制 控制 器 的 模板 文件 所 在 路 径 、 目 录 或 URL; 
. -image="": 升级 使 用 的 新 的 容器 镜像 ; 

: -0，--output="": 输出 格式 ， 包 括 json|yaml |template |templatefile |wide; 

“ --poll-interval="3s": 检查 更 新 状态 的 时 间 间 隔 ; 

* --tollback=false: 回 滚 上 上 次 版 本 ; 

“ -t，--template=": golang 模 板 字 符 串 或 文件 路 径 ; 

'--timeout="5m0s": 超时 时 间 ; 

: --update-period="lm0s": 升级 多 个 Pod 的 时 间 间 隔 。 


例如 ， 更 新 rc-v1 复 制 控制 器 为 rc-v2json 中 定义 内 容 : 


$ kubect1 rolling-update rc-v1 -f rc-v2.json 


11.scale 
对 某 个 复制 控制 器 的 份 数 进行 调整 。 
命令 格式 为 kubectl scale[--resource-version=version][--current-replicas=count]--replicas=COUNT(-f FILENAMEITYPE NAME)[flags]。 


支持 的 参数 主要 有 : 


“ current-replicas=-1: 对 当前 的 复制 份 数 进行 检查 ， 匹 配 则 执行 scale 命 令 ; 

“ -f，--filename= 上 |]: 复制 控制 器 的 模板 文件 所 在 路 径 、 目 录 或 URL; 
-0，--output="; 输出 格式 ; 

“ --replicas=-1: 新 的 份 数 ， 必 备 项 ; 

“ -resource-version="": 对 当前 的 资源 版 本 进行 检查 ， 匹 配 则 执行 scale 命 令 ; 

“ 一 timeout=0: 命令 执行 超时 时 间 。 

12.cordon 

标记 一 个 节点 为 不 可 调度 状态 。 当 节点 出 现 故 障 时 候 ， 可 以 避免 调度 资源 上 去 。 
命令 格式 为 kubectl cordon NODE[flags]。 


例如 让 节点 n1 不 可 调度 资源 : 


$ kubect1 cordon nl 


13.drain 
将 节点 资源 从 节点 上 迁移 出 去 (删除 掉 Pod， 并 不 可 调度 资源 ) 。 可 以 用 于 在 对 节点 进行 维护 前 让 工作 资源 从 节点 上 调度 出 去 。 
命令 格式 为 kubectl drain NODE[flags]。 


支持 的 参数 主要 有 : 


“ --force[=false]: 删除 不 被 ReplicationConttoller、Job 或 DaemonSet 管 理 的 Pod; 
“ --grace-period=-1: 指定 允许 被 删除 Pod 平 缓 退出 的 时 间 ; 

“ --ignore-daemonsets[=false]: 忽略 DaemonSet 所 管理 的 Pod。 

14.uncordon 

恢复 节点 为 可 调度 状态 ， 可 以 分 配 工作 负载 过 来 了 。 

命令 格式 为 kubectl uncordon NODE[flags]。 


例如 让 节点 n1 恢 复 到 可 调度 状态 : 


$ kubect1 uncordon nl 


15.attach 


贴 附 到 某 个 容器 上 ， 类 似 Docker 的 attach 命 令 。 
命令 格式 为 kubectl attach POD-c CONTAINER[flags]。 


支持 的 参数 主要 有 : 


. -c，--container="": Pod 中 的 容器 名 ， 忽 略 则 默认 为 第 一 个 ; 
“ -i，--stdin[=false]: 挂 载 当前 的 标准 输入 到 容器 ; 

: -t，--ttyF=false]: 标准 输入 为 TTY 类 型 。 

16.exec 

在 给 定 Pod 中 执行 命令 ， 类 似 Docker 的 exec 指 令 。 


命令 格式 为 kubectl exec POD[-c CONTAINER]--COMMAND[argshttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...] 
[flags]。 


支持 的 参数 主要 有 : 


“ -Cc，--container="": Pod 中 执行 命令 的 容器 名 称 ， 默 认 会 选取 第 一 个 ; 
“ -p，--pod="": Pod 名 称 ; 
-stdin[= 钢 se]: 将 标准 输入 接 通 到 容器 ; 


' -t，--tty[=false]: 标准 输入 是 TTY 类 型 。 


例如 ， 在 nginx Pod 中 打开 一 个 bash， 可 以 用 : 


$ kubectl] exec -it nginx -- bash 


17.port-forward 


映射 本 地 端口 到 Pod。 


命令 格式 为 kubectl port-forward PODI[ILOCAL PORT: ]REMOTE_PORT[http://www.hzcourse.cComy/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/.…[LOCAL_ PORT_N: ]REMOTE_PORT_N][flags]。 


支持 的 参数 主要 有 -p，--pod=""，Pod 名 称 。 


例如 ， 映 射 本 地 端口 8080 到 test_pod 的 80 端 口 : 


$ kubect1 port-forward test pod 8080:80 


18.proxy 
本 地 创建 一 个 访问 Kubernetes API 服 务 的 代理 。 
命令 格式 为 kubectl proxy[--port=PORT][--www=static-dir][--www-prefix=prefix][--api-prefix=prefix][flags]。 


支持 的 参数 主要 有 : 


“ --accept-hosts="^localhost$，^127.0.0.1$， 人 ^\[: : 1N$": 允许 访问 的 地 址 ， 正 则 表达 式 格式 ; 
“ -accept-paths="^/.*": 允许 访问 的 路 径 ， 正 则 表达 式 格式 ; 

: --address="127.0.0.1": 服务 的 IP 地 址 ; 

“ -api-prefix="/": 映射 API 到 指定 URL 路 径 下 ; 

“disable-filter[=false]: 是 否 过 滤 请 求 ， 打 开 该 选项 将 导致 安全 风险 ; 

: -p，--port=8001: 代理 的 监听 端口 ， 上 默认 将 随机 选取 ; 

“ --tejectmethods="POST，PUT，PATCH": 拒绝 访问 的 HTTP 方 法 ; 
-reject-paths="^/api/./exec，^/api/./ran，^/api/.*/attach": 拒绝 访问 的 路 径 ; 
. -au，--unix-socket="": 监听 在 指定 的 Unix 套 接 字 上 ; 

“ -Ww，--www="": 在 给 定 前 级 路 径 下 提供 静态 HTTP 服 务 ; 

“ -P，--www-prefix="/static/": 静态 服务 的 资源 所 在 路 径 。 


19.run|run-container 


运行 容器 (默认 在 后 台 ) ， 类 似 Docker 的 run-d 指 令 。 默 认 会 自动 创建 一 个 部 署 或 者 任务 来 管理 创建 的 容器 。 


命令 格式 为 kubectl run NAME--image=image[--env="key=value"][--port=port][--replicas=replicas][--dry-run=bool][--overrides=inline-json][flags]。 


支持 的 参数 主要 有 : 


* --attach[=false]: 是 否 挂 载 到 运行 的 容器 ; 


“ --command[=false]: 如 果 配 置 该 选项 ，flag 作 为 运行 命令 传 给 容器 ; 

“ -dry-run[=false]: 模拟 运行 过 程 ， 打 印 命令 ， 但 实际 上 不 执行 ; 

“ -env= 上 |: 传递 给 容器 的 环境 变量 ; 

“ --genetatot="": API 生 成 器 名 称 ， 指 定 --testart=Always 情 况 下 默认 为 run/v1'"， 否 则 为 "run-pod/v1'; 
“ --hostport=-1: 映射 到 容器 端口 的 节点 主机 端口 ; 

-image="": 要 运行 的 容器 镜像 名 称 ; 

“ 1，--labels="": 设置 Pod 的 标签 ; 

: --leave-stdin-open[=false]: 保持 标准 输入 挂 载 到 Pod; 

“ --limits=": 容器 的 资源 限制 ， 例 如 'cpu=200m，memory=512Mi'; 

“ --no-headers[=false]: 输出 不 打印 标题 栏 ; 


“ -0，--output=": 输出 格式 ， 可 以 为 json|yaml|wide|name |go-template=http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... | go-template- 
file=http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... |jsonpath=http://www.hzcourse.com/resource/readBook? 


path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... |jsonpath-file=http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/...; 
“ --output-version="": 按照 给 定 版 本 输出 格式 化 数据 ， 默 认为 api-version; 
“ --port=-1: 容器 声明 开放 的 端口 号 ; 
“ -T，--teplicas=1: 容器 复制 的 份 数 ， 默 认为 1; 
“ --tequests="": 容器 请 求 的 资源 ， 例 如 'cpu=100m，memory=256Mi'; 
“ --restart 二 "Always": Pod 的 重启 策略 ， 可 以 为 Always (默认 值 ) ，OnFailure，Never。 如 果 是 'Always'"， 则 自动 创建 一 个 部 署 来 管理 Pod， 否 则 --replicas 必 须 设 为 1; 
“ -a，--show-all[=false]: 打印 所 有 的 Pod， 包 括 已 经 终止 的 ; 
“ 一 sort-by="": 按照 给 定 域 来 对 输出 结果 进行 排序 ; 
“ i，--stdin[=false]: 保持 Pod 中 容器 的 标准 输入 处 于 打开 状态 ; 
“ --template="": 使 用 的 模板 字符 串 或 文件 路 径 ; 


“ --tty[=false]: 为 Pod 中 的 每 一 个 容器 分 配 一 个 TTY。 


例如 ， 启 动 nginx Pod， 并 通过 一 个 复制 控制 器 来 自动 管理 它 ， 保 证 复制 为 2， 可 以 


$ kubect1 run --image=nginx --replicas=2 nginx-app --port=80 --env="DOMAIN=cluster" 
replicationcontroller "nginx-app" created 


此 时 ， 可 以 查看 自动 创建 的 复制 控制 器 ， 保 证 始终 有 2 个 Nginx Pod 在 运行 。 


$ kubect1 get rc 


CONTROLLER CONTAINER(S) IMAGE (S) SELECTOR REPLICAS AGE 
nginx-app nginx-app nginx run=nginx-app 2 <invalid> 
20.expose 


使 用 给 定 的 复制 控制 器 、Pod 或 者 服务 等 资源 的 选择 器 ， 发 布 为 新 的 服务 。 


命令 格式 为 kubectl expose(-f FILENAMEITYPE NAME)[--port=port][--protocol=TCPIUDP][--target-port=number-or-name][--name=name][----external-ip=external-ip-of-service][-- 
type=typej[flags]。 


支持 的 参数 主要 有 : 

“ --container-port="": 等 价 于 --target-port， 指 定 Pod 的 端口 ; 

“ -dry-run[= 邹 se]: 模拟 输出 发 送 命令 ， 但 不 执行 ; 

“ --external-ip="": 指定 外 部 可 以 访问 服务 的 地 址 ; 

: -f，--flename=[: 资源 模板 文件 所 在 路 径 、 目 录 或 URL; 

“ -generator="'service/v2": 使 用 哪个 API 生 成 器 ; 

“ -1|，--labels=": 给 生成 服务 添加 标签 ; 

“ --load-balancer-ip=": 绑 定 到 负载 均衡 器 的 地 址 ， 不 指定 则 自动 获取 生成 (需要 外 部 平台 支持 ) ; 
“ -name="": 创建 服务 的 名 称 ; 

“ -no-headers[=false]: 输出 不 打印 头 部 信息 ; 


“ -0，--output=""; 输出 格式 ， 包 括 json |yaml|wide|name |go-template=http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... | go-template- 
file=http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... |jsonpath=http://www.hzcourse.com/resource/readBook? 


path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... |jsonpath-file=http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/... 等 ; 


“ -output-version=": 输出 格式 化 对 象 依照 的 版 本 信息 ; 

“ --Overrides="": 履 盖 生成 对 象 的 给 定 域 ; 

* -port="™": 服务 端口 ; 

: --protocol="TCP": 服务 监听 类 型 ; 

: --record[=false]: 记录 当前 kubectl 操 作为 服务 的 注解 信息 ; 

“ -save-config[=false]: 保存 配置 为 服务 的 注解 信息 ; 

“ --selector="": 标签 选择 器 ; 

“一 session-affinity="": 指定 服务 的 会 话 的 关联 性 ， 可 以 为 "None' (简单 轮换 ) 或 'ClientIP' (同一 个 客户 端的 请 求 分 发 到 同一 个 后 端 ) ; 
. -a，--show-all[=false]: 显示 所 有 资源 信息 ， 包 括 处 于 终止 状态 的 Pod; 
“ --show-labels[=false]: 显示 标签 信息 ; 

-sort-by=": 指定 输出 的 排序 域 ; 

: --target-port="": Pod 上 的 端口 ， 不 给 定 则 默认 跟 服务 端口 相同 ; 

“ --temblate='"": 指定 使 用 模板 文件 时 ， 模 板 文件 的 路 径 ; 


“ --type="ClusterIP": 服务 的 类 型 ， 包 括 ClusterIP、NodePort 或 LoadBalancer。 


例如 ， 将 某 个 Pod test-pod， 发 布 为 监听 在 80 端 口 的 Web 服 务 : 


$ kubect1 expose pod test-pod --port=80 --name=web 


21.autoscale 


自动 根据 需求 来 扩展 一 个 部 署 (或 复制 控制 器 ) 中 的 Pod 数 目 。 类 似 AWS 中 自动 扩展 组 的 概念 。 
命令 格式 为 kubectl autoscale(-f FILENAMEITYPE NAMEITYPE/NAME)[--min=MINPODS]--max=MAXPODS[--cpu-percent=CPU][flags]。 
支持 的 参数 参见 前 一 小 节 的 expose 参 数 ， 部 分 参数 说 明 如 下 : 

“ -cpu-percent=-1: 所 有 Pod 上 的 CPU 平均 使 用 比例 ; 

“ --generator="horizontalpodautoscaler/vlbetal": 指定 API 生 成 器 ; 

“ --max=-1; 自动 扩展 Pod 的 上 限 值 ， 必 备 项 ; 

“ -min=-1: 自动 扩展 Pod 的 下 限 值 ; 

“ -name="": 自动 扩展 的 名 字 ， 默 认 采 用 操作 资源 的 名 字 。 
22.rollout 
对 一 个 部 署 进行 操作 。 
命令 格式 为 kubectl rollout SUBCOMMAND(TYPE NAMEITYPE/NAME)[flags]。 
支持 的 子 命令 包括 : 

.history: 查看 rollout 的 历史 记录 ; 

“ pause: 标记 给 定 资源 为 暂停 状态 ; 

“ resume; 继续 一 个 暂停 状态 的 资源 ; 

. undo: 撤销 ， 回 到 之 前 的 tollout。 


参数 主要 为 -f，--filename=[]， 资 源 模板 文件 路 径 、 目 录 或 URL。 


23.label 
更 新 一 个 资源 的 标签 信息 。 


命令 格式 为 kubectl label[--overwrite](-f FILENAMEITYPE NAME)KEY_1=VAL 1http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...KEY_N=VAL _N[--resource-version=version][flags]。 


支持 的 参数 参见 前 面 expose 参 数 ， 部 分 参数 说 明 如 下 : 


-all=false]: 选择 指定 类 型 的 所 有 资源 ; 


“ --OVerwrite[=false]: 是 否 允 许 履 盖 已 有 标签 的 值 ; 
“ --resource-version="": 检查 资源 版 本 信息 是 否 匹配 给 定 值 ， 不 匹配 则 拒绝 修改 ; 
' -1，--selectot="": 标签 选择 器 。 


例如 ， 为 test_pod 资 源 添加 标签 release=beta。 


$ kubectl label -f test pod.json release=beta 


24.annotate 


自 更 新 一 个 资源 的 注解 信息 。 


命令 格式 为 kubectl annotate[--overwrite](-f FILENAMEITYPE NAME)KEY_1=VAL 1http://www.hzcourse.com/resource/readBook? 


path=/openresources/teach ebook/uncompressed/16033/OEBPS/Text/...KEY_N=VAL NI[--resource-version=version][flags]。 


支持 的 参数 参见 前 面 的 expose 和 label 参 数 。 


25.config 


修改 kubeconfig 文 件 。 


命令 格式 为 kubectl config SUBCOMMANDIflags]。 


支持 子 命令 包括 : 


“ current-context: 显示 当前 的 上 下 文 ; 


“ set-context: 配置 上 下 文 信息 ; 


"use-context: 切换 当前 上 下 文 到 指定 上 下 文 ; 


“set-cluster: 配置 一 个 集群 的 信息 ， 名 字 不 存在 则 新 创建 ; 


' set: 配置 kubeconfig 文 件 中 的 键 值 ; 


' unset: 取消 kubeconfig 文 件 中 的 键 值 ; 


“ view: 查看 kubeconfig 文 件 信 息 ; 


“ set-credentials: 配置 kubeconfig 文 件 中 的 用 户 认证 信息 。 


支持 的 参数 主要 有 --kubeconfig=""， 指 定 kubeconfig 文 件 。 


26.explain 


显示 资源 类 型 的 说 明文 档 。 可 以 快速 查看 某 个 资源 的 解释 。 


命令 格式 为 kubectl explain RESOURCE。 


27.convert 


转换 配置 文件 到 其 他 API 版 本 。 


命令 格式 为 kubectl convert-f FILENAME[flag]。 


支持 的 参数 参见 前 面 的 expose 的 参数 ， 部 分 参数 说 明 如 下 : 


* --local[=true]: 不 跟 API 服 务 交 互 ， 仅 本 地 运行 ; 


* -schema-cache-dir="~/.kube/schema": API schemas 所 在 目录 ; 


 --validate[=true]: 执行 命令 前 对 输入 进行 校 验 。 


27.7 ”网 络 设计 


网 络 对 于 集群 来 说 是 十 分 关键 的 功能 。 
形式 来 采用 AppC 提 出 的 Container Networking Interface (CNI) 规范 。 这 意味 着 ， 将 来 所 有 支持 Kubernetes 的 网 络 插件 都 要 遵循 该 规范 。 


实际 上 ，CNI 的 模型 十 分 简洁 ，Kubernetes 只 需要 告诉 插件 ， 把 某 个 Pod 挂 载 到 某 个 网 络 、 或 者 从 某 个 网 络 和 卸载 ， 其 他 工作 都 由 插件 来 完成 。Kubernetes 自 身 不 需要 了 解 网 络 的 具体 


Kubernetes 在 设计 上 考虑 了 对 网 络 的 需求 和 模型 设计 ， 但 


身 并 没有 重新 实现 ， 而 是 可 以 另外 嵌入 现 有 的 网 络 管理 方案 。 同 时 ，Kubernetes 试 图 通过 插件 化 的 


对 于 Kubernetes 集 群 来 说 ， 一 般 要 考虑 如 下 四 种 通信 场景 : 


“Pod 内 (容器 之 间 ) : 因为 容器 共享 了 网 络 命名 空间 ， 可 以 通过 lo 直接 通信 ， 无 需 领 外 支持 ; 


开 


“ Pod 之 间 : 又 分 在 同一 个 节点 上 和 在 不 同 节点 上 ， 前 者 通过 本 地 网 桥 通信 即 可 ， 后 者 需要 在 各 自 绑 定 的 网 桥 之 间 打 通 ; 


“ Pod 和 服务 之 间 : 因为 服务 是 虚拟 的 ClusterIP， 因 此 ， 需 要 节点 上 配置 代理 机 制 ( 例 如 基于 iptables) 来 映射 到 后 端的 Pod。 


“ 外 部 访问 服务 : 要 从 外 面 访问 服务 ， 


其 实 Docker 默 认 采 用 iptables 实 现 NAT 的 方式 ( 


必须 经 过 负载 均衡 器 ， 通 过 外 部 可 用 的 地 址 映射 到 内 部 的 服务 上 。 


节点 通信 就 需要 占用 本 地 端口 映射 ， 这 会 给 服务 层面 的 访问 带 来 麻烦 。 


Kubernetes 在 网 络 方面 的 设计 理念 包括 如 下 几 点 : 


“ 所 有 容器 之 间 不 使 用 NAT 就 可 以 互相 通信 ; 


后 来 也 支持 overlay 模 式 ， 但 所 提出 的 CNM 规 范 未 被 Kubernetes 接 纳 ) 已 经 通过 借用 主机 地 址 组 成 了 简单 的 网 络 。 但 Kubernetes 认 为 NAT 方 式 实现 跨 


“ 所 有 节点 跟 容器 之 间 不 使 用 NAT 就 可 以 互相 通信 ; 
“ 容器 自己 看 到 的 地 址 ， 跟 其 他 人 访问 自己 使 用 的 地 址 应 该 是 一 样 的 (其 实 还 是 在 说 不 要 有 NAT) 。 


以 看 到 ， 这 个 设计 理念 跟 云 平 台 里 面 的 虚拟 机 网 络 十 分 类 似 ， 这 意味 着 一 些 基 于 虚拟 机 云 的 项 目 可 以 很 方便 地 迁移 到 Kubernetes 平 台 上 。 


加 


实现 这 几 点 需求 ， 可 以 有 两 种 设计 思路 : 直接 路 由 和 Overlay 网 络 ， 这 也 是 现在 云 计算 领域 常见 的 网 络 实现 方式 。 


问 


1 直接 路 由 


这 种 思路 最 简单 ， 所 有 Pod 直 接 暴露 在 物理 网 络 上 ， 大 家 彼此 地 址 可 见 ， 不 能 有 地 址 冲突 ， 不 同 子 网 之 间 通 过 路 由 机 制 进行 三 层 转发 。 


此 时 ， 各 个 Node 上 会 创建 cbr0 网 桥 ， 并 且 需 要 在 开启 本 地 转发 支持 : 


$ sysct1 net.ipv4.ip forward=1 


另外 ， 配 置 Docker 服 务 的 默认 网 桥 ， 并 且 取 消 Docker 对 iptables 的 自动 修改 : 


DOCKER_OPTS="--bridge=cbr0 --iptables=false --ip-masq=false" 


为 了 让 Pod 可 以 通过 Node 地 址 来 访问 外 网 (因为 Pod 的 私有 数据 地 址 是 无 法 路 由 到 外 部 的 ) ， 可 以 配置 SNAT: 


$ iptables -t nat -A POSTROUTING ! -d 10.0.0.0/8 -o eth0 -j MASQUERADE 


这 种 实现 的 最 大 优势 是 简洁 ， 可 以 直接 复 用 底层 的 物理 设备 。 目 前 ,包括 Google 的 GCE 和 微软 的 容器 云 在 内 的 许多 实现 都 支持 这 种 模式 。 


2.Overlay 网 络 


Overlay 网 络 相对 要 复杂 一 些 ， 支 持 底层 更 灵活 的 转发 。 目 前 包括 Flannel、Open-VSwitch、Weave、Calico 等 一 系列 方案 都 能 实现 用 Overlay 网 络 来 联通 不 同 节 点 上 的 Pod。 


以 Flannel 网 络 为 例 ， 提 前 为 各 个 Node 分 配 互 不 重合 的 子 网 ， 例 如 将 完整 的 172.16.0.0/16 私 有 网 段 划分 为 多 个 子 网 172.16.10.0/24、172.16.11.0/24.……， 各 个 Node 上 的 Pod 分 配 网 络 地址 的 时 候 只 能 
从 这 个 子 网 范围 内 分 配 ， 避 免 了 地 址 的 冲突 ， 如 图 27-5 所 示 。 


Pod 
172.16.11.3/24 


Pod 
172.16.10.2/24 


docker0 172.16.10.1/24 docker0 172.16.11.1/24 


fd 
es 


ni 
GUOIOGR, 


二 物理 网 络 


图 27-5 ”Kubernetes 使 用 Flannel 网 络 


所 有 Pod 都 挂 载 到 docker0 网 桥 上 ， 网 桥 的 内 部 接口 (docker0) 作为 子 网 网 关 接口 。 


同时 ， 在 各 个 Node 上 创建 网 络 接口 (如 图 中 的 flannel.1) ， 该 接口 分 配子 网 的 0 号 地 址 ， 负 责 处 理 往 其 他 节点 发 送 的 网 包 。 当 docker0 收 到 目标 地 址 为 其 他 节点 上 Pod 的 网 包 时 ， 根 据 路 由 表 会 扔 到 
flannel.1 接 口 ， 由 flanneld 进 程 进行 封装 ， 通 过 隧道 发 送 到 对 应 节点 上 进行 解 封 装 。 


以 左边 节点 为 例 ， 本 地 路 由 表 为 : 


$ route -en 
Kernel IP routing table 


Destination Gateway Genmask Flags MSS Window irtt Iface 
0.0.0.0 192 .1568.122.1 0D.0.0 UG 00 0 eth0 
172.16.0.0 0.0.0.0 255.255.0.0 U 0 0 0 flannel.1 
172.10, L100 0.0.0.0 255,.255:255.0 TU 00 0 docker0 
191.167.121.1 0.0.00 .255 2255: 人 00 0 eth0 


27.8 ”本 章 小 结 


本 章 介绍 了 Kubernetes 系 统 的 设计 、 核 心 概念 、 主 要 组 件 ， 以 及 常见 操作 和 网 络 模型 。 通 过 这 些 知识 ， 相 信 读 者 对 于 Kubernetes 的 功能 有 了 直观 认识 ， 并 可 以 利用 它 来 搭建 自己 的 容器 云 平台 。 


虽然 Kubernetes 自 身 并 没有 提出 PaaS 或 者 DevOps 的 理念 ， 但 它 提供 的 资源 抽象 接口 和 生命 周期 管理 ， 让 用 户 可 以 很 方便 的 进行 二 次 开发 。 


实际 上 ，Kubernetes 自 身 很 好 地 展现 了 一 套 高 效 的 分 布 式 系统 该 如 何 设 计 ， 以 及 为 了 满足 业务 需求 如 何 把 握 架 构 。 推 荐 感 兴趣 的 读者 进一步 查看 Kubernetes 的 源码 实现 ， 可 以 更 深入 地 探知 


技术 细 


刘 


第 28 章 ”其 他 相关 项 目 


Docker 昌 然 属于 新 兴 技 术 ， 但 围绕 它 已 经 出 现 了 不 少 优秀 的 技术 项 目 ， 包 括 利用 Docker 进 行 云 计算 平台 搭建 ， 特 别 是 实现 平台 即 服务 ， 利 用 Docker 来 实现 高 效 的 持续 集成 服务 ， 以 及 对 大 规模 Docker 
容器 的 管理 和 进行 编程 开发 等 。 


本 章 将 介绍 这 方面 的 一 些 典型 项 目 ， 包 括 平台 即 服务 、 持 续集 成 、 容 器 管理 、 编 程 开 发 、 网 络 支持 、 日 志 处 理 、 服 务 代理 、 标 准 与 规范 等 。 


28.1 平台 即 服务 方案 


PaaS (Platform as a Service， 平 台 即 服务 ) 是 希望 提供 一 个 统一 的 操作 系统 平台 环境 ， 让 所 有 软件 直接 运行 在 它 上 面 ， 而 无 需 复杂 配置 。Docker 天 生 的 应 用 封装 特性 为 实现 PaaS 提 供 了 某 种 便利 。 
这 里 介绍 几 个 基于 Docker 相 关 技 术 的 PaaS 项 目 。 


28.1.1 Deis 


Deis 项 目 官方 网 站 为 http://deis.io， 代 码 在 https://github.com/deis/deis 维 护 。 


Deis 是 开源 的 PaaS 项 目 ， 基 于 Go 语言 实现 ， 遵 循 Apache 2.0 协 议 。 由 OpDemand 公 司 在 2013 年 7 月 发 起 ， 目 前 还 处 于 开发 阶段 。OpDemand 公 司 提供 对 Deis 的 商业 服务 支持 。 


Deis 试 图 提供 轻 量 级 的 PaaS 实 现 ， 为 用 户 提供 简单 的 应 用 管理 和 部 署 。Deis 基 于 Docker 项 目 和 CoreOS 项 目 ， 通 过 简单 的 git push 命 令 即 可 部 署 应 用 ， 加 速 集 成 和 部 署 过程 ， 还 支持 对 应 用 容器 通过 单 
条 命令 进行 扩展 。 


在 架构 设计 上 ，Deis 整 合 了 一 系列 Docker 容 器 ， 可 以 部 署 到 公有 云 、 私 有 云 ， 以 及 本 地 环境 中 ， 并 提供 了 完整 的 测试 、 诊 断 的 工具 。 


28.1.2 Flynn 


Flynn 项 目 官方 网 站 为 http://flynn.io， 代 码 在 https://github.com/flynn/flynn 维 护 。 


Flynn 项 目 由 一 个 创业 团队 在 2013 年 7 月 发 起 ， 基 于 Go 语言 开发 ， 目 前 还 处 于 beta 版 阶段 。Flynn 项 目的 发 起 也 是 由 于 一 些 部 署 实践 问题 : 在 部 署 SOA (Service Oriented Architecture， 是 大 规模 分 布 
式 系 统 常 采 用 的 架构 风格 ， 需 要 功能 组 件 之 间 的 松 耦 合 ) 产品 至 公有 云 的 过 程 中 ， 往 往 需要 人 工 部 署 和 维护 大 量 不 同 功能 部 件 。 


Flynn 基 于 Heroku 项 目 [1]。 它 受 到 Omege 概 念 (来 自 剑桥 大 学 、 加 州 伯克利 大 学 和 Google 公 司 合作 的 《Omega: flexible，scalable schedulers for large compute clusters》 论 文 ) 的 启发 ，Flynn 
不 仅 能 完成 简单 可 控 的 部 署 ， 还 能 进行 自由 的 扩展 ， 并 提供 数据 库 管理 等 功能 。Flynn 可 以 方便 的 实现 一 套 比较 理想 的 PaaS 方 案 。 


在 设计 上 ，Flynn 项 目 尽 量 保持 API 驱 动 和 模块 化 ， 以 便 模块 支持 不 同 的 实现 方案 。 底 层 (layer 0) 实现 一 套 支持 服务 发 现 的 资源 管理 框架 ， 上 层 (layer 1) 实现 适合 部 署 和 维护 的 应 用 组 件 。 
目前 ，Flynn 项 目 已 经 获得 了 Shopify 等 公司 的 支持 。 


[1] Heroku 是 一 个 支持 多 种 编程 语言 (包括 Ruby、Java、Node.js、Scala、Clojure、Python 以 及 PHP 和 Perl 等 ) 的 云 平台 即 服务 实现 。 在 2010 年 被 Salesforce.com 收 购 。 


28.2 ”持续 集成 平台 Drone 


目前 ，Drone 项 目 利用 Docker 技 术 ， 实 现 持 续集 成 (Continuous Integration) 平台 服务 。 


Drone 项 目 官方 网 站 为 http://drone.io， 代 码 在 https://github.com/drone/drone 维 护 。 


Drone 是 开源 的 开源 持续 集成 平台 项 目 ， 基 于 Go 语言 实现 ， 遵 循 Apache 2.0 协 议 。 该 项 目 最 初 由 Drone 公 司 在 2014 年 2 月 发 起 ， 目 前 还 处 于 开发 阶段 。Drone 公 司 基 于 它 ， 提 供 支 持 Github、 
Bitbucket 和 Google Code 等 第 三 方 代码 托管 平台 的 持续 集成 服务 。 


Drone 基 于 Docker 和 AUFS 实 现 ， 为 用 户 提供 基于 网 站 的 操作 。 


登录 网 站 后 ， 可 以 选择 源码 的 存放 服务 ， 如 图 28-1 所 示 。 


OroODe.iD beta board A New Project Logout 


Repository Setup 


Github Bitbucket Google Code 


28-1 选择 源码 的 存放 服务 


此 处 选择 Github 服 务 ， 然 后 从 仓库 列表 中 选择 项 目 ， 如 图 28-2 所 示 。 


DrMONE.IO beta 


量 Repository Setup 


bradrydzewski / routes 
https://github.com/bradrydzewski/routes 


bradrydzewski / blog.drone.io 
https://github.com/bradrydzewski/blog.drone.io 


bradrydzewski / buddy 合 
https://github.com/bradrydzewski/buddy 


bradrydzewski / jkl 
https://github.com/bradrydzewski/jkl 


图 28-2 ”从 仓库 列表 中 选择 项 目 


配置 项 目的 语言 种 类 ， 如 图 28-3 所 示 。 


OrODe.iO beta 


hello-world 


https://bitbucket.com/brydzewski/hello-world Project Setup 


@® 呈 ， 
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Node.js (Beta) PHP (Beta) Python (Beta) Ruby (Beta) 


Groovy (Beta) scala (Beta) C/C++ 


图 28-3 ”配置 项 目的 语言 种 类 


接 下 来 ， 需 要 检查 创建 命令 是 否 正确 ， 并 根据 具体 情况 进行 调整 ， 如 


28-4 所 示 。 


[ 


OrODe.iO beta 


hello-world 


https://bitbucket.com/brydzewski/hello-world Project Setup 


Setup your Build Script 


Your checkout directory is /home/ubuntu/src/bit ucket.com/brydzewski/hello-world 


npm -d install 
npm test 


Enter one command per line (ex: echo foo) 


Save» 


最 后 ， 项 目 就 可 以 在 Drone 平 台 上 进行 持续 集成 管理 了 ， 如 图 28-5 所 示 。 


28-4 检查 和 配置 创建 命令 


drome.iO beta 


hello-world 


https://bitbucket.com/brydzewski/hello-world History De 


Build & Test Build Now Kickoff a build request. Use for testing when you change your build script. 


Make sure to actually save changes first (Save is at the bottom). 
Deployments 
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Node 0.8 
Artifacts 
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国 PostgreSQL 
Repository more ... 


Members Commands 


working directory /home/ubuntu/src/bitbucket .com/brydzewski/hello-world 


npm -d install 
npm test 


图 28-5 ”进行 持续 集成 管理 


28.3 ”容器 管理 


Docker 对 单个 容器 操作 已 经 提供 了 功能 强大 的 命令 行 操作 和 API 操 作 接 口 ， 但 是 缺乏 同时 对 多 个 容器 (特别 是 容器 集群 ) 进行 管理 的 方案 ， 另 外 还 缺乏 | 


到 形 界面 的 管理 平台 。 


目前 ， 已 经 有 若干 开源 项 目 试图 实现 更 为 强大 和 便捷 的 Docker 管 理工 具 ， 包 括 Citadel、Sshipyard、DockerUl、Panamax 等 。 


28.3.1 Citadel 


CitadelI 项 目 官方 网 站 为 http://citadeltoolkit.org， 代 码 在 https://github.com/ycitadel/citadel 维 护 。 


Citadel 项 目 于 2014 年 4 月 由 Citadel 团 队 正式 推出 ， 基 于 Go 语言 实现 ， 目 标 是 提供 一 套 在 由 Docker 容 器 构成 的 集群 中 对 容器 进行 调度 的 工具 ， 主 要 包括 集群 管理 组 件 和 调度 组 件 。 
“ 集群 管理 组 件 (Cluster Manager) 负责 管理 集群 的 状态 ， 通 过 调用 Docker 提 供 的 API 来 连接 到 主机 ， 管 理 容器 。 

“ 调度 组 件 〈Scheduler) 决策 如 何 进行 调度 ， 支 持 多 套 调 度 方法 ， 包 括 基 于 标签 、 基 于 是 否 同一 镜像 、 基 于 主机 、 组 合 方法 等 多 种 调度 机 制 。 

使 用 Citadel 首 先 要 为 调度 组 件 提供 容器 类 型 ， 并 指定 调度 所 关心 的 资源 限制 此后， 调度 器 会 根据 容器 类 型 、 服 务 将 容器 启动 到 合适 的 主机 上 去 。 


28.3.2 Shipyard 


Shipyard 项 目 官方 网 站 为 http://shipyard-project.com/， 代 码 在 https://github.com/shipyard/shipyard 维 护 。 


Shipyard 项 目 于 2013 年 11 月 发 起 ， 它 目前 基于 Citadel 项 目 (部 分 开发 者 来 自 同一 团队 ) ， 希 望 提 供 一 套 对 Docker 集 群 中 资源 进行 管理 的 工具 ， 包 括 对 Docker 容 器 、 主 机 等 资源 的 管理 。 它 的 最 大 特点 
是 在 核心 部 件 之 外 还 支持 扩展 镜像 ， 可 以 根据 需求 灵活 实现 应 用 负载 均衡 、 集 中 日 志 管 理 和 自动 化 部 署 等 功能 。 


此 外 ，Shipyard 还 提供 了 方便 用 户 使 用 的 Web 界 面 ， 如 图 28-6 所 示 ， 功 能 更 加 强大 的 命令 行 操作 接口 ， 以 及 统一 的 AP1。 


shipyard 


BDashboard 畦 Containers 入 Engines 国 Events 


CPU Memory 
9/26/14 5:26 PM start ef85b84dofjf 
ehazlett/go-demo:latest 


9/26/14 5:26 PM create ef85b84dofff 
ehazlett/go-demo:latest 


9/26/14 4:30 PM delete-account 
name=foo 


9/26/14 4:30 PM add-account 
name=foo 


9/26/14 4:20 PM create 906523a45f1d 
ehazlett/go-demo:latest 


28-6 Shipyard Web 界 面 


28.3.3 DockerUl 


DockerUI 项 目 目前 在 https://github.com/crosbymichael/dockerui 维 护 。 


该 项 目 于 2013 年 12 月 发 起 ， 主 要 基于 html/js 语 言 实现 ， 遵循 MIT 许 可 。 用 户 可 以 通过 下 面 的 命令 简单 测试 该 工具 : 


$ docker build -t crosbymichael/dockerui github.com/crosbymichael/dockerui 
$ docker run -d -p 9000:9000 -v /var/run/docker.sock:/docker.sock crosbymichael/ 
dockerui -e /docker.sock 


运行 成 功 后 ， 打 开 浏 览 器 ,访问 http://:9000， 如 图 28-7 所 示 。 


28.3.4 Panamax 


Panamax 项 目 官方 网 站 为 http://panamax.io， 代 码 在 https://github.com/CenturyLinkLabs/panamax-ui 维 护 。 


Panamax 项 目 诞生 于 2014 年 3 月 ， 由 CenturyLink 实 验 室 发 起 (是 该 实验 室 第 一 个 卿 化 出 的 开源 项 目 ) ， 希 望 通过 一 套 优雅 的 界面 来 实现 对 复杂 的 Docker 容 器 应 用 的 管理 ， 例 如 利用 简单 拖 搜 来 完成 操 
作 。Panamax 项 目 基于 Docker、CoreOS 和 Fleet， 可 以 提供 对 容器 进行 自动 化 管理 和 任务 调度 。 


DockerUl 


Containers: 


Image Command Created Status 


5886995bfd18 cc/bin/sh -c /usr/locaVbin/sentry -config=/sentry.conf.py start 1370720983 


26d8f45fc1d3 /bin/sh -c /usr/bin/redis-server /etc/redis/redis.conf 1370716229 


28-7 DockerUI 项 目 


Panamax 项 目 基于 Ruby 语 言 ， 遵 循 Apache 2 许可 ， 可 以 部 署 在 Google、Amazon 等 云 平台 甚至 本 地 环境 。 


此 外 ，Panamax 还 提供 了 开源 应 用 的 模板 库 ， 来 集中 管理 不 同 应 用 的 配置 和 架构 ， 如 图 28-8 所 示 。 
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From the CenturyLink Labs Blog 


August 7, 2014 How to Use Docker in Cloud 
Foundry with Colin Humphreys 


August 7, 2014 Caching Docker Images 
July 28, 2014 Optimizing Docker Images 


July 22, 2014 The Future of Docker 


July 16, 2014 What Makes a Good REST AP1 
Framework? (part 1) 


图 28-8 ”Panamax 项 目 


28.3.5 Seagull 


Seagull 是 由 小 米 工程 师 陈 迪 豪 发 布 的 开源 Docker 容 器 和 镜像 的 Web 界 面 监控 工具 ， 目 前 在 https://github.com/tobegit3hub/seagull 维 护 ， 如 图 28-9 所 示 。 


Github 


Images page display all docker Seagull is open source in Github. 
images to start, stop and delete. Welcome to contribution and issues. 


a ke 


图 28-9 ”Seagull 项 目 


Seagull 基 于 Go 和 JavaScript 实 现 的 ， 集 成 了 Beego、AngularJS、Bootstrap、Bower、JQuery 和 Docker 等 工具 。 它 在 本 地 运行 一 个 Web 服 务 ， 通 过 Beego 实 现 的 API 服 务 器 不 断 请 求 Docker 本 地 套 接 
字 以 管理 Docker。 使 用 方法 如 下 。 


下 载 镜像 : 


$ docker pull tobegit3hub/seagull 


运行 镜像 : 


$ docker run -d -p 10086:10086 -v /var/run/docker.sock:/var/run/docker. 
socktobegit3hub/seagull 


然后 就 可 以 通过 浏览 器 访问 地 址 http://127.0.0.1:10086 登 录 管 理 界面 。 


官方 Dockerfile 镜 像 如 下 : 


# Base image is in https://registry.hub.docker.com/_/golang/ 
# Refer to https://blog.golang.org/docker for usage 
FROM golang 

MAINTAINER tobe tobeg300gle@gmail.com 

ENV REFREST AT 20141023 

# ENV GOPATH /go 

# Install dependency 

RUN go get github.com/astaxie/beego 

RUN go get github.com/beego/bee 

RUN go get github.com/tobegit3hub/seagull 

# Go to the folder of seagull 

WORKDIR /go/src/github.com/tobegit3hub/seagull/ 

# Build the project 

RUN go build seagull.go 

# This should be the same as httpport in conf/app.conf 
EXPOSE 10086 

# Run the server 

CMD ["./seagull"] 


28.3.6 Dockerboard 


Dockerboard 是 一 个 可 视 的 管理 工具 ， 让 Docker 管 理 变 得 简单 。 项 目地 址 : https://github.com/dockerboard， 遵 循 MIT 协 议 ， 如 图 28-10 所 示 。 
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Containers 


Images 


Hosts Docker Version 


amd64 

5bc2ff8 

go1.3.3 
3.16.7-tinycore64 
linux 
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图 28-10 ”Dockerboard 项 目 
Dockerboard 目 前 由 两 部 分 组 成 : dockerboard 和 bluewhale: 
“ dockerboard 是 由 Go 开发 的 后 端 API 服 务 。 
“ bluewhale 是 由 Angular.js 搭 建 的 前 端 Web UI。 


安装 & 使 用 


默认 Dockerboard 可 以 通过 http://127.0.0.1:8001 继 续 访问 管理 ;如 果 使 用 boot2docker， 可 以 通过 http://$(boot2docker ip 2>/dev/null):8001。 下 面 介绍 几 种 安装 方式 。 


通过 Go 进行 安装 : 


$ go get github.com/dockerboard/dockerboard 

$ go install github.com/dockerboard/dockerboard 

$ git clone --depth 1 https://github.com/dockerboard/bluewhale.git 

$ dockerboard -h 

$ $ (boot2docker shellinit) 

$ dockerboard server -s bluewhale/dist 

$ open http://$ (boot2docker ip 2>/dev/nul1) :8001 

从 Docker Hub 获 取 Image 进 行 安装 

$ docker pull dockerboard/dockerboard 

$ docker run -d -p 8001:8001 -v /var/run/docker.sock:/var/run/docker.sock --name 
dockerboard dockerboard/dockerboard 


当然 也 可 以 通过 Dockerfile 构 建 : 


FROM golang 

MAINTAINER fundon cfddream@gmail .com 

RUN go get github.com/dockerboard/dockerboard 

ENV GOPATH /go/src/github.com/dockerboard/dockerboard/Godeps/_workspace:/go 
WORKDIR /go/src/github.com/dockerboard/dockerboard/ 

RUN go build dockerboard.go 

RUN git clone --depth 1 https://github.com/dockerboard/bluewhale.git /bluewhale 
EXPOSE 8001 

ENTRYPOINT ["./dockerboard", "server", "-s", "/bluewhale/dist"] 


28.4 ”编程 开发 


由 于 Docker 服 务 端 提供 了 REST 风 格 的 AP1， 通 过 对 这 些 API 进 一 步 地 封装 ， 可 以 提供 给 各 种 开发 语言 作为 Docker 的 使 用 库 。 


这 里 以 docker-py 项 目 为 例 ， 介 绍 在 Python 语言 中 对 Docker 相 关 资 源 进 行 的 操作 。 


1. 安 装 docker-py 


$ sudo 
$ sudo pip install docker-py 


安装 后 可 以 发 现 ， 代 码 结构 十 分 清晰 ， 主 要 提供 了 Client 类 ， 用 来 封装 提供 用 户 可 以 用 Docker 命 令 执 行 的 各 种 操作 ， 包 括 build、run、commit、create_container、info 等 接口 。 


对 REST 接 口 的 调用 使 用 了 request 库 。 对 于 这 些 AP1， 用 户 也 可 以 通过 curl 来 进行 调用 测试 。 


2. 使 用 示例 


打开 Python 的 终端 ， 首 先 创建 一 个 Docker 客 户 端 连接 : 


$ sudo Python 
>>> import docker 
>>> c = docker.Client (base url="'unix://var/run/docker.sock',version="1.15',timeout=10) 


通过 info() 方 法 查看 Docker 系 统 信息 : 


>>> c.info() 

{u'KernelVersion': u'3.13.0-24-generic', u'NFd': 19, u'MemoryLimit': 1, u'InitShal': 
u'', u'SwapLimit': 0, u'Driver': u'aufs', u'IndexServerAddress': u'https:// 
index.docker.io/v1/', u'NGoroutines': 27, u'Images': 200, u'InitPath': 
u'/usr/bin/docker', u'Containers': 2, u'ExecutionDriver': u'native-0.2', 
u'Debug': 0, u'NEventsListener': 0, u'DriverStatus': [[u'Root Dir', u'/var 
/lib/docker/aufs'], [u'Dirs', u'204']], u'OperatingSystem': u'Ubuntu 14.04.1 
LTS', u'IPv4Forwarding': 1} 


通过 images0 和 containers() 方 法 可 以 查看 本 地 的 镜像 和 容器 的 列表 : 


>>> c.images () 

[{u'Created': 1414108439, u'VirtualSize': 199257566, u'ParentId': 
u'22093c35d77bb609b9257ffb2640845ec05018e3d96cb939f68d0e19127£1723'， 
u'RepoTags': [u'ubuntu:latest'], u'Id': u'5506de2b643bele6febbf3b8a240760 
c6843244c41el2aa2f60ccbb7153d17f5', u'Size': 0}] 

>>> c.containers () 

[{u'Status': u'Up 5 seconds', u'Created': 1415086513, u'Image': u'ubuntu:latest', 
u'Ports': [], u'Command': u'/bin/bash', u'Names': [u'/romantic blackwell'], 
u'Id': u'f51f2e4cc6df8829baa00018fe3a9e5112cc4d0786cc674d621e5Tab795c9fd6'}] 


通过 create_container( 方 法 来 创建 一 个 容器 ， 之 后 启动 它 : 


>>> container = c.create container (image='ubuntu:latest', command='bash') 
>>> print (container) i 
{u'Id': u'a8439e4c8e64a94a287d408fdc3ff9a0b4a8577fe3b5e32975b790afb41414af', 
u'Warnings': None} 
>>> c.start (container='a8439e4c8e64a94a287d408fqdc3ff9a0b4a8577fe3b5e32975b790afb41414af') 


可 见 ， 所 提供 的 方法 与 Docker 提 供 的 命令 都 十 分 类 似 。 实 际 上 ， 在 执行 Docker 命 令 的 时 候 ， 也 是 通过 Docker 提 供 的 客户 端 进行 了 封装 ， 并 向 服务 端 发 起 API 请 求 。 


28.5 网络 支持 


围绕 Docker 网 络 的 管理 和 使 用 ， 现 在 已 经 诞生 了 一 些 方便 用 户 操作 的 工具 和 项 目 ， 代 表 性 的 工具 包括 pipework、Flannel、Weave 以 及 Calico 项 目 。 


28.5.1 pipework 


JerOme Petazzoni 编 写 了 一 个 叫 pipework 的 shell 脚 本 ， 代 码 托 管 在 https://github.com/jpetazzo/pipework， 该 工具 封装 了 底层 通过 ip、brctl 等 网 络 设备 操作 命令 ， 可 以 简化 在 比较 复杂 的 场景 对 容 
器 连接 的 操作 命令 。 


使 用 该 工具 ， 可 以 轻松 地 配置 容器 的 IP 地 址 、 为 容器 划分 VLan 等 功能 。 


例如 ， 分 别 启动 两 个 终端 ， 在 其 中 创建 两 个 测试 容器 c1 和 c2， 并 查看 默认 网 卡 配置 。 


利用 pipework 为 容器 c1 和 <c2 添 加 新 的 网 卡 eth1， 并 将 它们 连接 到 新 创建 的 br1 网 桥 上 ， 如 下 所 示 : 


$ sudo pipework brl cl 192.168.1.1/24 
$ sudo pipework brl c2 192.168.1.2/24 


此 时 在 主机 系统 中 查看 网 桥 信 息 ， 会 发 现 新 创建 的 网 桥 br1， 并 且 有 两 个 veth 端 口 连接 上 去 : 


$ sudo brct1 show 
bridge name bridge id STP enabled interfaces 


brl 8000.868b605fc7a4 no vethlp117805 
vethlp117880 
docker0 8000.56847afe9799 no veth89934d8 


此 时 ， 容 器 c1 和 c2 可 以 通过 子 网 192.168.1.0/16 相 互 连 通 。 


另外 ，pipework 还 支持 指定 容器 内 的 网 卡 名 称 、MAC 地 址 、 网 络 掩 码 和 网 关 等 配置 ， 甚 至 通过 macvlan 连 接 容器 到 本 地 物理 网 卡 ， 实 现 跨 主机 通信 。 


pipework 代 码 只 有 200 多 行 ， 建 议 进行 阅读 ， 有 助 于 理解 如 何 利 用 Linux 系 统 上 的 iproute 等 工具 实现 容器 连接 的 配置 。 


28.5.2 Flannel 


如 


Flannel 由 CoreOS 公 司 推出 ， 现 在 主要 面向 Kubernetes， 为 其 提供 底层 的 网 络 虚 拟 化 方案 ， 代 码 托管 在 https://github.com/coreos/flannel。 


Flannel 的 设计 是 典型 的 采用 覆盖 网 络 的 思路 ， 在 每 个 主机 上 添加 一 个 隧道 端点 ， 所 有 跨 主机 的 流量 会 经 过 隧道 端点 进行 隧道 封包 (典型 为 VXLAN 协 议 ， 


图 28-11 所 示 。 


Docker Swarm 也 支持 ) ， 直 接 发 送 到 对 端 ， 
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图 28-11 Flannel 网络 示意 图 


跟 传统 的 基于 覆盖 网 络 的 网 络 虚拟 化 方案 类 似 ， 这 种 设计 的 优势 在 于 有 很 好 的 扩展 性 ， 只 要 IP 连 通 的 主机 即 可 构成 同一 个 虚拟 网 络 ， 甚 至 跨 数 据 中 心 。 问 题 也 很 明显 ， 一 个 是 隧道 协议 目前 还 比较 难 追 
踪 ， 另 一 个 是 解 包 和 封包 处 理 负载 重 ， 如 果 没有 硬件 offload 则 往往 性 能 会 有 损耗 。 还 有 就 是 当中 间 路 径 存在 负载 均衡 设备 时 ， 要 避免 均衡 出 现 失效 。 


28.5.3 Weave Net 


Weave Net 由 Weave 公 司 开发 的 面向 容器 的 网 络 虚拟 化 方案 ， 项 目 托管 在 https://github.com/weaveworks/weave。 


解决 容器 网 络 跨 主机 问题 的 思路 主要 是 打通 跨 主机 容器 之 间 的 通信 ， 主 要 手段 无 非 是 用 覆盖 网 络 建立 隧道 或 者 是 通过 更 改 包头 进行 转发 。 


Weave Net 的 设计 比较 有 意思 ， 在 每 个 主机 上 添加 一 个 路 由 器 ， 在 混杂 模式 下 使 用 pcap 在 网 桥 上 截获 网 络 数据 包 ， 如 果 该 数据 包 是 要 发 送 到 其 他 主机 上 的 ， 则 通过 UDP 进行 转发 ， 到 目的 主机 所 在 的 


路 由 器 上 ， 目 的 路 由 器 执行 相反 的 过 程 利用 pcap 解 析 网 包 再 发 送 给 网 桥 。 整 个 过 程 是 模拟 了 一 个 隧道 方式 。 参 见 图 28-12。 


Weave network 


图 28-12 Weave 网 络 示 意图 


这 样 设 计 的 好 处 是 可 以 进行 细 粒 度 的 管理 ， 整 个 转发 过 程 很 容易 追踪 ;潜在 的 问题 是 对 管理 平面 (特别 是 路 由 器 的 自动 收敛 和 学 习 ) 要 求 比较 复杂 ， 并 且 执行 pcap 过 程 会 比较 消耗 计算 资源 。 实 际 部 署 
中 要 考虑 结合 软件 定义 网 络 和 硬件 处 理 等 手段 来 缓解 这 两 个 问题 。 


28.5.4 Calico 


Calico 项 目 官方 网 站 在 https://www.projectcalico.org/。 


Calico 的 设计 则 更 为 直接 ,干脆 不 支持 网 络 虚拟 化 ， 直 接 采 用 传统 的 路 由 转发 机 制 ， 也 是 在 每 个 节点 上 配置 一 个 vRouter， 负 责 处 理 跨 主 机 的 流量 。vRouter 之 间 通 过 BGP 自 动 学 习 转 发 策略 。 
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图 28-13 ”Calico 网 络 示意 图 


由 于 Calico 不 采用 隧道 方式 ， 而 是 依赖 于 传统 的 |P 转 发 ， 这 就 限制 了 它 的 应 用 场景 ， 无 法 跨 数据 中 心 ， 无 法 保障 中 间 路 径 安全 。 但 带 来 了 容易 管理 、 转 发 性 能 会 好 的 一 些 优势 。 


Calico 目 前 支持 VM、Docker、Kubernetes、Openstack 等 多 个 项 目的 容器 网 络 功能 。 


28.6 日 志 处 理 


28.6.1 Docker-Fluentd 


= 


Docker-Fluented 代 码 托管 在 https://github.comykiyoto/docker-fluentd。Docker-Fluentd 以 容器 运行 ， 可 以 收集 其 他 容器 的 运行 日 志 ， 重 定向 到 文件 或 者 第 三 方 的 分 析 引 擎 中。 


使 用 方法 很 简单 ， 直 接 启动 一 个 本 地 采集 容器 即 可 ， 如 下 所 示 : 


$ docker run -d -v /var/lib/docker/containers:/var/1lib/docker/containers kiyoto 
/docker-fluentd 


如 果 要 重 定向 到 其 他 分 析 引 警 ， 比 如 Elasticsearch， 可 以 更 改 Dockerfile， 加 入 如 下 内 容 : 


RUN ["apt-get", "update"] 

RUN ["apt-get", "install", "--yes", "make", "libcurl4-gnutls-dev"] 

RUN ["/usr/local/bin/gem", "install", "fluent-plugin-elasticsearch", 
TWO-Edocr “==no=ri"] 


同时 修改 fluent.conf 如 下 所 示 : 


<source> 
type tail 
path /var/lib/docker/containers/*/*-json.1log 
pos_file /var/log/fluentd-docker.pos 
time format %Y-%m-%dT%H:%M:%S 
tag docker.* 
format json 
</source> 
<match docker.var.lib.docker.containers.*.*.10g> 
type record reformer 
container id ${tag parts[5]} 


tag docker.all 
</match> 
<match docker.all> 
type elasticsearch 
log level info 
host YOUR ES HOST 
port YOUR ES PORT 
include tag key true 
logstash format true 
flush intercal 5s 
</match> 


最 后 重新 创建 镜像 即 可 。 


28.6.2 Logspout 


Logspout 由 gliderlabs 推 出 ， 基 于 Golang 实 现 ， 代 码 托管 在 https://github.com/gliderlabs/logspout。 


与 Fluentd 类 似 ，Logspout 也 是 提供 一 个 本 地 的 agent， 采 集 主 机 上 所 有 容器 的 标准 输出 ， 然 后 发 送 到 采集 端 。 


Logspout 支 持 对 所 采集 的 容器 进行 筛选 ， 并 且 支 持 Syslog、Kafka、Redis、Logstash 等 多 种 采集 后 端 。 


典型 的 应 用 是 发 送 到 远 端的 Syslog 服 务 器 ， 执 行 命令 也 十 分 简单 。 需 要 注意 如 果 用 容器 方式 启动 ， 则 把 本 地 的 docker.sock 句 柄 映射 到 容器 内 : 


$ docker run --name="logspout" \ 
--volume=/var/run/docker.sock:/var/run/docker.sock \ 
gliderlabs/logspout \ 
syslog+ttls://your_syslog server:5000 


@@ 注 六 


Logspout 目 前 功能 还 在 完善 中 ， 存 在 较 大 的 一 个 问题 是 当 与 远 端的 采集 后 端 连 接 中 断后 ， 还 不 支持 主动 重 连 ， 需 要 手动 重启 agent 容 器 。 


28.6.3 Sematext-agent-docker 


Sematext Docker Agent 代 码 托管 在 https://github.com/sematext/sematext-agent-docker， 通 过 Docker API 为 SPM Docker Monitor 收 集 Metrics， 事 件 和 日 志 信息 ， 它 支持 多 种 平 
台 ，CoreOS、Rancher OS、Docker Swarm、Kubernetes 等 。 同 时 提供 丰富 的 前 端 显示 ， 如 图 28-14 所 示 。 
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28-14 ”Sematext-agent-docker 提 供 丰 富 的 前 端 显 示 


服务 代理 〈 又 叫 反 向 代理 ) 是 指 以 代理 服务 器 来 接受 internet 上 的 连接 请 求 ， 然 后 将 请 求 转发 给 内 部 网 络 上 的 服务 器 ， 并 将 从 服务 器 上 得 到 的 结果 返回 给 internet 上 请 求 连接 的 客户 端 ， 此 时 代理 服务 器 
对 外 就 表现 为 一 个 服务 器 。 服 务 代理 服务 器 也 可 以 作为 负载 均衡 器 ， 隐 藏 后 端 真正 服务 器 的 细节 ， 提 高 统一 访问 接口 地 址 。 参 见 图 28-15。 
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图 28-15 ”服务 代理 工具 的 功能 


下 面 介绍 支持 Docker 环 境 的 一 些 服务 代理 开源 项 目 。 


28.7.1 Traefik 


Traefik 项 目 官方 网 址 为 https://traefik.io/。 代 码 网 址 为 https://github.com/containous/traefik。 


Traefix 是 一 个 可 以 用 来 简化 微服 务 部 署 的 HTTP 代 理 服务 器 和 负载 均衡 服务 器 ， 支 持 多 种 后 端 服 务 ， 包 括 Docker、Swarm、Mesos/Marathon、Kubernetes、Consul、Etcd、Zookeeper、BoltDB、 
Rest API、file 等 。 


传统 的 代理 服务 器 不 适应 于 动态 环境 ， 配 置 的 动态 改变 一 般 难 以 实现 ， 而 微服 务 架构 恰恰 是 动态 的 ， 服 务 的 添加 、 去 除 和 升级 经 常 发生 。Traefix 可 以 监听 服务 注册 /编排 的 AP1， 当 服务 状态 发 生 改 变 
时 ， 可 动态 更 新 反 向 代理 服务 器 的 配置 。 功 能 逻辑 图 参见 图 28-16。 
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图 28-16 ”Traefik 服 务 代理 流程 


还 提供 可 视 化 的 WebUl 进 行 配 置 和 状态 监测 ， 如 图 28-17 所 示 。 


图 28-17 Traefik 的 可 视 化 管理 界面 


运行 方式 包括 二 进 制 模 式 和 容器 模式 。 


二 进 制 模式 运行 时 需 下 载 binary 和 配置 文件 (https://github.com/containous/traefik/releases 和 https://raw.githubusercontent.com/containous/traefik/master/traefik.sample.toml)， 然 后 直 


接 运 行 : 


$ ./traefik -c traefik.toml 


容器 模式 的 命令 如 下 : 


$ docker run -d -p 8080:8080 -p 80:80 -v $PWD/traefik.toml:/etc/traefik 
/traefik.toml traefik 


28.7.2 Muguet 


Muguet 代 码 网 址 为 : https://github.com/mattallty/muguet。 


Muguet 除 了 提供 服务 代理 功能 外 ， 还 提供 DNS 解析 功能 ， 这 样 应 用 可 以 使 用 域名 来 访问 容器 ， 而 不 需要 再 使 用 静态 端口 和 IP。 功 能 逻辑 图 如 下 图 28-18 所 示 。 
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图 28-18 ”Muguet 进 行 反 向 代理 和 域名 解析 的 过 程 


Muguet 的 安装 和 使 用 都 比较 简单 : 


Install Muguet 

$ npm install -g muguet 
Start Muguet (as root) 

$ sudo muguet up 

Usage 

$ sudo muguet up [options] 


Muguet 提 供 WebUIl， 上 默认 域名 http://muguet.docker， 如 图 28-19 所 示 。 


28.7.3 nginx-proxy 


nginx-proxy 代 码 网 址 为 https://github.com/jwilder/nginx-proxy。 


nignx-proxy 以 容器 方式 运行 Nginx 和 docker-gen， 其 中 docker-gen 负 责 产 生 代 理 配置 文件 并 在 容器 启动 时 进行 加 载 。 使 用 方法 如 下 。 
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DNS entries 
muguet.dooker 一 10.254.254.254 
druid.docker 一 10.254.254.254 
07083a5955d1.docker 一 10.254 254.254 
bidder.Gocker 一 10.254.254.254 
f94b59abd585.docker 一 10.254254.254 
amc-docker 一 10.254254.254 
ca782d22bb dockar —> 10.254 254 254 
gge.docker 一 10.254.254.254 
从 ba2d557ff.docker 一 10.254.254.254 
引 k.docker 一 10254.254.254 
0887d61esa76.docker 一 10.254.254.254 
@lastc.elk docker — 10.254.254.254 
eleastic,0887d61eea76.docker 一 10.254.254.254 
kibana_alkdocker — 10.254.254.254 
libana.0887d51eea76.cocker 一 10.254.254.254 
aerosplke docker —+ 172.17.0.2 
b241576685357 ,dockar 一 172.17.0.2 


图 28-19 Muguet 的 Web 管 理 界面 


运行 hignx-proxy: 


$ docker run -d -p 80:80 -V /var/run/docker.sock:/tmp/docker.sock:ro jwilder 
/nginx-proxy 


运行 需要 proxy 的 容器 : 


$ docker run -d -e VIRTUAL HOST=demo.tenxcloud.net --expose 8080 index. 
tenxcloud.com/tenxcloud/tomcat 


注意 ,需要 设置 VIRTUAL_HOST 环 境 变 量 修改 DNS， 使 其 值 指向 niginx-proxy 所 在 机 器 IP， 同 时 需要 使 用 一 expose 暴 露 容 器 服务 端口 。 访 问 http://demo.tenxcloud.com 即 可 ， 参 见 图 28-20。 
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28.8 ”标准 与 规范 


随 着 Docker 带 来 的 容器 技术 的 爆发 ， 社 区 在 不 断 增 强 容器 技术 易 用 性 的 同时 ， 也 在 思考 如 何 更 长 远 地 发 展 容器 技术 ， 如 兼容 不 同 的 容器 标准 ， 适 应 更 多 类 型 的 操作 系统 平台 以 及 设计 应 
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lf you're seeing this, you've successfully installed Tomcat. Congratulations! 


图 28-20 Nginx 的 管理 界面 
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前 沿 着 
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这 个 方向 努力 ， 已 经 有 了 一 些 组 织 (如 开放 容器 倡议 OCI) 在 倡导 成 立 一 些 推荐 大 家 都 遵守 的 容器 标准 和 规范 ， 同 时 也 总 结 了 一 些 面向 云 应 用 的 设计 实践 经 验 。 


1.runC 标 准 


runC 标 准 最 早 由 Docker 公 司 在 2014 征 


F2 月 左右 推出 ， 项 目地 址 为 https://github.com/opencontainers/runc， 它 的 目标 是 打造 一 套 轻 量 级 的 、 标 准 化 的 容器 运行 环境 。 


通过 它 ， 容 器 可 以 在 多 种 平台 上 得 到 统一 的 运行 时 环境 以 及 更 好 的 资源 隔离 。 目 前 ，runC 已 经 贡献 给 了 开放 容器 倡议 ， 得 到 了 包括 Docker、Google、IBM 在 内 的 众多 厂家 的 支持 。 


目前 ，Docker 1.11+ 版 本 中 已 经 默认 集成 了 runC 机 制 的 支持 。 


2.appC 标 准 


appC 来 自 于 另外 一 家 容器 领域 的 积极 贡献 者 CoreOS 公 司 ， 最 早 在 2014 生 


遵循 appC 标 准 ，CoreOS 公 司 实 现 了 rkt 容 器 机 制 。 


目前 ，appC 也 已 经 贡献 给 了 开放 容器 倡议 组 织 ， 尝 试 推出 更 开放 规范 的 标准 。 


3.Nulecule 


Nulecule 来 自 于 ReDHat 公 司 的 贡献 ， 最 早 在 20195 稀 


目前 ,支持 多 容器 应 用 的 平台 。 如 Docker Swarm 采用 了 Docker Compose 模 板 文 件 ， 而 Kubernetes 则 采用 
的 、 通 用 的 、 可 移植 的 格式 ， 定 义 了 多 容器 应 用 的 部 署 规范 ， 包 括 应 用 的 元 数据 、 依 赖 、 参 数 配置 等 。 


为 了 支持 Nulecule，RedHat 公 司 还 推出 了 Atomic 项 目 ， 提 供 快速 使 用 支持 。 


4 开放 容 器 格式 


为 了 推动 容器 标准 化 ，2015 


F6 月 22 


通用 的 容器 规范 OCF。 该 组 织 现 在 受到 Linux 基 金 会 的 支持 ， 其 官方 网 站 为 https://www.opencontainers.org。 


Eg 


E11 月 左右 提出 ， 项 目地 址 为 https://github.com/appc。 


FE3 月 左右 开源 ， 项 目地 址 为 https://github.com/projectatomic/nulecule/。Nulecule 面 向 的 应 用 场景 是 描述 由 多 个 容器 组 成 的 复合 应 用 栈 。 


自 定义 的 描述 文件 ， 它 们 彼此 之 间 无 法 通用 ， 那 么 Nulecule 则 都 支持 ， 它 定义 一 套 标准 


，AWS、EMC、IBM、 谷 歌 、Docker、CoreOS、redhat 等 数 十 家 公司 共同 牵头 成 立 了 开放 容器 倡议 组 织 (Open Container Initiative，OCI) ， 旨 在 建立 一 套 


目前 ，OCI 正 在 推动 所 提出 的 开放 容器 规范 (Open Container Format，OCF) ， 融 合 了 来 自 runC、appC 等 多 家 容器 规范 ， 试 图 打造 一 套 移植 性 好 、 开 放 统一 的 容器 标准 。 目 前 已 经 有 了 对 容器 运行 


时 、 镜 像 格 式 等 方面 的 规范 草案 。 


OCF 对 标准 容器 运行 时 规范 制定 了 5 条 原则 : 


“ 标准 化 操作 (standard operations) : 创建 、 删 除 、 打 包容 器 等 操作 都 必须 标准 化 ; 


“内容 无 关 性 (contentagnostic) : 操作 应 该 跟 内 容 无 关 ， 保 持 行 为 上 的 一 致 性 ; 


' 平台 无 关 性 (infrastructureagnostic) : 在 任何 支持 OCI 的 平台 上 ， 操 作 都 必须 能 同等 执行 ; 


' 设计 考虑 自动 化 (designed for automation) : 标准 容器 是 为 自动 化 而 生 ， 其 规范 必须 考虑 自动 化 条 件 ; 


' 企业 级 交付 (industrialgrade delivery) : 标准 容器 需要 适用 于 企业 级 流水 线 的 交付 任务 。 


5. 云 应 用 12 要 素 


在 云 计算 时 代 ， 应 用 的 整个 生命 周期 将 在 数据 中 心里 渡 过 ， 这 跟 传统 软件 模式 极 大 不 同 。 


云 应 用 实际 上 意味 着 : 代码 + 配置 + 运行 时 环境 。 


什么 样 的 软件 才 是 可 用 性 和 可 维护 性 好 的 软件 ? 


什么 样 的 代码 才能 避免 后 续 开发 的 上 手 障碍 ? 


什么 样 的 实施 才能 可 靠 地 运行 在 分 布 式 的 环境 中 ? 


Heroku (PaaS 服 务 提供 商 ，2010 年 被 Salesforce 收 购 ) 平台 创始 人 Adam Winggins 提 出 了 云 应 用 12 要 素 (12factor) ， 对 开发 者 设计 和 实现 云 时 代 (特别 是 Paas 和 SaaS 上 ) 高 效 的 应 用 都 有 很 好 的 
参考 意义 。 


(1) Codebase 一 一 代码 仓库 


One codebase tracked in revision control, many deploys。 


每 个 子 系统 都 用 独立 代码 库 管理 ， 使 用 版 本 管理 ， 实 现 独 立 的 部 署 。 即 将 系统 拆 分 为 多 个 分 布 式 应 用 ， 每 个 应 用 使 用 自己 的 代码 库 进 行 管理 。 多 个 应 用 之 间 共 享 的 代码 用 依赖 库 的 形式 提供 。 


(2) Dependencies 一 一 依赖 


Explicitly declare and isolate dependencies, 


显 式 声明 依赖 ， 通 过 环境 来 严格 隔离 不 同 依赖 。 所 依赖 的 与 所 声明 的 要 保持 一 致 ， 并 且 声 明 要 包括 依赖 库 的 版 本 信息 。 


(3) config 一 一 配置 


Store config in the environment。 


在 环境 变量 中 保存 配置 信息 ， 避 免 放 在 源码 或 配置 文件 中 。 
(4) Backing Services 一 一 后 端 服务 


Treat backing services as attached resources 


后 端 服 务 (数据 库 、 消 息 队列 、 缓 存 等 ) 作为 可 挂 载 资源 来 使 用 ， 这 样 系统 跟 外 部 依赖 尽量 松 耦 合 。 


生命 周期 管理 


(5) Build，release，run 


Strictly separate build and run stages。 


区 分 不 同 生命 周期 的 运行 环境 ， 包 括 创建 (代码 编译 为 运行 包 ) 、 发 布 (多 个 运行 包 和 配置 放 一 起 打包 ， 打 包 是 一 次 性 的 ， 每 次 修改 都 是 新 的 release) 、 运 行 ， 各 个 步骤 的 任务 都 很 明确 ， 要 相互 隔 
离 。 例 如 ， 绝 对 不 允许 在 运行 时 去 改 代码 和 配置 信息 ( 见 过 太 多 工程 师 直 接 SSH 到 生产 环境 修 bug 了 ) 。 


(6) Processes 一 一 进程 


Execute the app as one or more stateless processes, 


以 一 个 或 多 个 无 状态 的 进程 来 运行 应 用 ， 即 尽量 实现 无 状态 ， 不 要 在 进程 中 保存 数据 。 尽 量 通过 数据 库 来 共享 数据 。 


(7) Port binding 一 一 端 


Export services via port binding, 


通过 端口 绑 定 来 对 外 提供 服务 。 可 以 是 HTTP、XMPP、Redis 等 协议 。 多 个 应 用 之 间 通 过 URL 来 使 用 彼此 的 服务 。 


(8) Concurrency 一 一 并 发 模型 


Scale out via the process model。 


通过 进程 控制 来 扩展 ， 即 尽量 以 多 进程 模型 进行 扩展 。 
(9) Disposability 一 一 任意 存活 
Maximize robustness with fast startup and graceful shutdown。 


快速 启动 ( 秒 级 响应 ) ， 优 雅 关闭 ( 收 到 SIGTERM 信 号 后 结束 正在 处 理 请 求 ， 然 后 退出 ) ， 并 尽量 鲁 棒 (随时 kill， 随 时 crash 都 不 应 该 导致 问题 ) 。 


(10) Dewprod parity 一 一 减少 开发 与 生产 环境 的 差异 性 


Keep development, staging, and production as similar as possible。 


尽量 保持 从 开发 、 演 练 到 生产 部 署 环境 的 相似 性 。 这 点 很 不 容易 ， 真 正 要 求 工程 师 懂 


| 


发 ， 还 得 懂 运 维 。 


(11) Logs 一 一 日 志 


Treat logs as event streams。 


将 日 志 当 作 事件 流 来 进行 统一 的 管理 和 维护 (使 用 Logstash 等 工具 ) 。 应 用 只 需要 将 事件 写 出 来 ， 例 如 到 标准 输出 stdout， 剩 下 的 由 采集 系统 处 理 。 


(12) Admin processes 一 一 管理 
Run admin/management tasks as one-off processes。 


将 管理 (迁移 数据 库 、 查 看 状态 等 ) 作为 一 次 性 的 系统 服务 来 使 用 。 管 理 代码 跟 业 务 代 码 要 放 在 一 起 进行 代码 管理 。 


28.9 其 他 项 目 


28.9.1 CoreOS 


项 目 官方 网 站 为 https://coreos.com/， 代 码 在 https://github.com/coreos 维 护 。 


CoreOS 项 目 基于 Python 语 言 ， 遵 循 Apache 2.0 许 可 ， 由 CoreOS 团 队 在 2013 年 7 月 发 起 ， 目 前 已 经 正式 发 布 首 个 稳定 版 本 。 


CoreOS 项 目 目标 是 提供 一 个 基于 Rocket 容 器 的 轻 量 级 容器 化 Linux 发 行 版 ， 通 过 轻 量 的 系统 架构 和 灵活 的 应 用 部 署 能 力 来 简化 数据 中 心 的 维护 成 本 和 复杂 度 。 


CoreOS 基 于 一 套 精简 的 Linux 环 境 ， 不 使 用 包 管理 工具 ， 而 将 所 有 应 用 都 进行 容器 化 ， 彼 此 隔离 ， 从 而 提高 了 系统 的 安全 性 。 此 外 ， 运 行 期 间 ， 系 统 分 区 是 只 读 状 态 ， 利 用 主 从 分 区 支持 更 稳定 的 无 颖 
升级 。 配 合 Etcd (分 布 式 高 可 用 的 键 值 数据 库 ) 、Fleet (分 布 式 init 任 务 管理 ) 、Flannel (Overlay 网 络 管理 ) 等 工具 ，CoreOS 也 将 适用 于 在 大 规模 集群 环境 中 进行 使 用 。 参 见 图 28-21。 


docker 
containers 


CoreOS Host 


图 28-21 CoreOS 项 目 


该 项 目 目前 得 到 了 KPCB 等 多 家 基金 的 投资 。 


28.9.2 OpenStack 支 持 


OpenStack 是 近 些 年 Linux 基 金 会 发 起 的 ， 最 受 欢 迎 的 云 开 源 项 目 。 项 目的 官方 网 站 在 http://www.openstack.org。 项 目 遵 循 Apache 许 可 ， 受 到 包括 IBM、Cisco、AT&T、HP、Rackspace 等 众多 企 
业 的 大 力 支持 。 


项 目的 目标 是 搭建 一 套 开源 的 架构 即 服务 (Infrastructure as a Service，laaS) 实现 方案 ， 主 要 基于 Python 语言 实现 。 该 项 目 孵化 出 来 的 众多 子 项 目 已 经 在 业界 产生 了 诸多 影响 。 


Openstack 目 前 除了 可 以 管理 众多 虚 机 外 ， 其 计算 服务 (Nova) 已 经 支持 了 对 Docker 的 驱动 ， 此 外 ， 还 支持 通过 Stack 管理 引擎 Heat 子 项 目 来 使 用 模板 管理 Docker 容 器 。 


例如 ， 下 面 的 Heat 模 板 ， 定 义 了 使 用 Docker 容 器 运行 一 个 cirros 镜 像 : 


heat template Version: 2013-05-23 
description: Single compute instance running cirros in a Docker container. 
resources: 
my_instance: 
type: OS::Nova::Server 
Properties: 
key_name: ewindisch key 
image: ubuntu-precise 
flavor: ml.large 
user data: #include https://get.docker.io 
my_docker container: 
type: DockerInc::Docker::Container 
docker endpoint: { get attr: [my instance, first address] } 
image: cirros 


此 外 ，OpenStack 自 身 的 部 署 也 可 以 基于 Docker 技 术 ， 从 而 得 到 极 大 的 简化 ， 甚 至 更 进一步 地 ， 可 以 通过 Kubernetes 等 容器 云 方案 快速 启动 一 套 OpenStack 环 境 。 


28.9.3 dockerize 


出 


一 般 来 说 ， 要 将 一 个 应 用 放 到 容器 里 ， 需 要 考虑 两 方面 的 因素 ， 一 是 应 用 依赖 的 配置 信息 ; 二 是 应 用 运行 时 候 的 输出 日 志 信息 。dockerize 是 一 个 Go 程序 ， 试 图 简化 这 两 方 前 代码 


在 https://github.com/jwilder/dockerize 维 护 。 


晤 


它 主要 可 以 提供 两 个 功能 ,一 是 对 于 依赖 于 配置 文件 的 应 用 ， 能 自动 提取 环境 变量 并 生成 配置 文件 ， 另 外 一 个 是 将 应 用 输出 的 日 志 信息 重 定向 到 STDOUT 和 STDERR。 


下 面 给 出 一 个 简单 的 例子 ， 比 如 要 创建 一 个 Nginx 镜 像 ， 标 准 的 Dockerfile 内 容 为 : 


FROM ubuntu:14.04 

# Install Nginx. 

RUN echo "deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" > 
/etc/apt/sources.list.d/nginx-stable-trusty.1ist 

RUN echo "deb-src http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" >> 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C300EE8C 

RUN apt-get update 

RUN apt-get install -~y nginx 

RUN echo "daemon off;" >> /etc/nginx/nginx.conf 

EXPOSE 80 

CMD nginx 


使 用 dockerize， 则 需要 在 最 后 的 CMD 命 令 中 利用 dockerize 进 行 封装 ， 利 用 模板 生成 应 用 配置 文件 ， 并 重 定向 日 志文 件 输出 到 标准 输出 。 


首先 ,创建 配置 模板 文件 为 default.tmpl， 内 容 是 : 


server { 
listen 80 default server; 
listen [::]:80 default server ipv6éonly=on; 


root /usr/share/nginx/html; 
index index.html index.htm; 
# Make site accessible from http://localhost/ 
server name localhost; 
location / { 
access log off; 
Proxy pass {{ .Env.PROXY URL }}; 
proxy_set header X-Real-IP $remote addr; 
proxy set header Host $host; 
Proxy_set header X-Forwarded-For $proxy add x forwarded for; 


该 模板 将 接收 来 自 环境 变量 PROXY_URL 的 值 。 


编辑 新 的 Dockerfile 内 容 为 : 


FROM ubuntu:14.04 

# Install Nginx. 

RUN echo "deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" > 
/etc/apt/sources.list.d/nginx-stable-trusty.1ist 

RUN echo "deb-src http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" >> 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C300EE8C 

RUN apt-get update 

RUN apt-get install -y wget nginx 

RUN echo "daemon off;" >> /etc/nginx/nginx.conf 

RUN wget https://github.com/jwilder/dockerize/releases/download/v0.0.1 
/dockerize-linux-amd64-v0.0.1.tar.gz 

RUN tar -C /usr/local/bin -xvzf dockerize-linux-amd64-v0.0.1.tar.gz 

ADD default.tmpl /etc/nginx/sites-available/default.tmpl 

EXPOSE 80 

CMD dockerize -template /etc/nginx/sites-available/default.tmpl:/etc/nginx 
/sites-available/default -stdout /var/log/nginx/access.1l0og -stderr /var/log 
/nginx/error.1og nginx 


最 后 的 CMD 命 令 中 利用 -template 参 数 指定 了 配置 模板 位 置 ， 以 及 生成 的 配置 文件 的 位 置 。 


创建 镜像 后 ， 通 过 如 下 的 方式 启动 一 个 容器 ， 整 个 过 程 无 需 手动 添加 Nginx 的 配置 文件 ， 并 且 日 志 重 定向 到 了 标准 输出 。 


$ docker run -p 80:80 -e PROXY URI="http://jasonwilder.com" --name nginx -d nginx 


28.9.4 Unikernel 


轻 量 级 的 精简 内 核 技术 ， 项 目地 址 为 http://www.unikernel.org。 


不 同 于 传统 的 支持 多 用 户 多 应 用 的 操作 系统 内 核 ，Unikernel 技 术 的 目的 是 为 运行 的 应 用 编译 链接 进入 所 需要 的 操作 系统 函数 ， 形 成 一 个 单独 的 编译 映像 ， 内 核 只 提供 单一 地 址 空间 。 无 需 其 他 无 关 的 软 
件 ， 这 个 映像 就 可 以 运行 在 虚拟 机 中 。 


Unikernel 特 点 包括 : 单一 镜像 、 安 全 、 超 轻 量 级 和 快速 启动 。 


不 同 于 容器 的 共享 操作 系统 内 核 ，Unikernel 是 精简 内 核 ， 每 个 应 用 实际 上 仍然 运行 在 各 自 的 超 轻 量 级 虚拟 机 中 。 


比较 流行 的 Unikernel 系 统 包括 : 

"ClickOS: NEC 提 出 的 专门 为 网 络 应 用 优化 的 系统 ， 支 持 C、C++ 和 Python; 
“ Clive: 面向 云 环境 的 精简 操作 系统 ， 基 于 Golang 实 现 ; 

' HaLVM: 早期 Unikernels 系 统 之 一 ， 基 于 Haskell 语 言 实现 ; 

:LING: 早期 Unikernels 系 统 之 一 ， 基 于 Etlang 语 言 实 现 ; 

: MirageOS: 早期 Unikernels 系 统 之 一 ， 基 于 Ocaml 语 言 实现 ; 

“ OSv: 基于 Java， 支 持 绝 大 多 数 JAR 文 件 部 署 和 运行 。 


Rumprun: 基于 NetBSD 项 目 ， 专 注 于 符合 POSIX 标 准 的 、 不 需要 Fotk 的 应 用 程序 方便 将 现 有 Linux 程 序 移植 到 Unikernel 上; 


runtime.js: 基于 Javascriptv8 引 擎 的 操作 系统 ， 支 持 JavaScript 应 用 。 


目前 ， 专 注 于 Unikernel 技 术 的 Unikernel Systems 公 司 已 被 Docker 公 司 收购 ， 作 为 对 容器 技术 未 来 方向 的 探索 和 补充 。 


28.9.5 ”容器 化 的 虚拟 机 
不 少 企业 应 用 仍 运行 在 传统 的 虚拟 机 中 ， 这 些 应 用 希望 吸收 容器 高 性 能 、 便 捷 的 优势 ， 也 不 想 放 弃 虚 拟 机 安全 的 特点 。 因 此 ， 出 现 了 一 些 开源 项 目 试图 让 虚拟 机 的 hypervisor 来 支持 容器 格式 ， 代 表 性 
的 项 目 有 Hyper。Hyper 项 目的 官方 网 站 为 https://www.hyper.sh/。 
Hyper 项 目 试 图 让 容器 用 户 仍然 像 使 用 容器 一 样 来 操作 Hyper 容 器 。 只 不 过 Hyper 容 器 不 同 于 传统 的 容器 ， 它 带 有 精简 的 操作 系统 内 核 。 因 此 ， 从 核心 上 说 它 是 一 个 轻 量 级 的 虚拟 机 镜像 ， 可 以 直接 跑 在 


容器 的 优秀 设计 ， 提 供 十 分 快速 的 体验 。 


hypervisor 上 ， 但 是 借鉴 了 来 自 


Proxy Error 


The proxy server received an invalid response firom an upstream server. 
The proxy server could not handle the request GET /resource/readBook. 


Reason: Error reading from remote server 
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附录 A ”常见 问题 总 结 


A.1 镜像 相关 


1. 如 何 批量 清理 临时 镜像 文件 ? 


答 : 可 以 使 用 docker rmi $(docker images -q -f dangling=true) 命 令 。 


2. 如 何 查看 镜像 支持 的 环境 变量 ? 


答 : 可 以 使 用 docker run IMAGE env 命 令 。 


3. 本 地 的 镜像 文件 都 存放 在 哪里 ? 
录 下 ， 以 aufs 文 件 系统 为 例 ， 其 中 container 目 录 存 放 容 器 信息 ，graph 目 录 存 放 镜 像 信息 ，aufs 目 录 下 存放 具体 的 镜像 层 文件 。 


答 : 与 Docker 相 关 的 本 地 资源 都 存放 在 /var/lib/docker/ 


4. 构 建 Docker 镜 像 应 该 遵循 哪些 原则 ? 
答 : 整体 原则 上 ， 尽 量 保持 镜像 功能 的 明确 和 内 容 的 精简 ， 要 点 包括 : 

尽量 选取 满足 需求 但 较 小 的 基础 系统 镜像 ， 例 如 大 部 分 时 候 可 以 选择 debian: wheezy 或 debian: jessie 镜 像 ， 仅 有 不 足 百 兆 大 小 ; 
“ 清理 编译 生成 文件 、 安 装 包 的 缓存 等 临时 文件 

: 安装 各 个 软件 时 候 要 指定 准确 的 版 本 号 ， 并 避免 引入 不 需要 的 依赖 ; 

: 从 安全 角度 考虑 ， 应 用 要 尽量 使 用 系统 的 库 和 依赖 ; 

“ 如 果 安 装 应 用 时 候 需 要 配置 一 些 特殊 的 环境 变量 ， 在 安装 后 要 还 原 不 需要 保持 的 变量 值 ; 


: 使 用 Dockerfile 创 建 镜像 时 候 要 添加 .dockerignore 文 件 或 使 用 干净 的 工作 目录 。 


5 . 碰 到 网 络 问题 ， 无 法 pull 和 镜像， 命令 行 指定 http_proxy 无 效 ， 怎 么 办 ? 


答 : 在 Docker 配 置 文件 中 添加 export http_proxy= "http://<PROXY_HOST>:<PROXY_PO 


A.2 ”容器 相关 


1. 容 器 退出 后 ， 通 过 docker ps 命令 查看 不 到 ， 数 据 会 丢失 么 ? 


RT>"， 之 后 重启 Docker 服 务 即 可 。 


答 : 容器 退出 后 会 处 于 终止 (exited) 状态 ， 此 时 可 以 通过 docker ps -a 命令 查看 。 其 中 的 数据 也 不 会 丢失 ， 还 可 以 通过 docker start 命 令 来 启动 它 。 只 有 删除 掉 容 器 才 会 清除 所 有 数据 。 


2. 如 何 停止 所 有 正在 运行 的 容器 ? 


答 : 可 以 使 用 docker kill $(docker ps -q) 命 令 。 


3. 如 何 清理 批量 后 台 停止 的 容器 ? 


耻 


: 可 以 使 用 docker rm -f $(docker ps -qa) 命 令 。 


4 如 何 获取 某 个 容器 的 PID 信 息 ? 


耻 


: 可 以 使 用 docker inspect --format '{{ .State.Pid }}<CONTAINERID or NAME> 命 令 。 


5. 如 何 获取 某 个 容器 的 IP 地 址 ? 


答 : 可 以 使 用 docker inspect --format '{{ .NetworkSettings.IPAddress } <CONTAINER 1 


6. 如 何 给 容器 指定 一 个 固定 IP 地 址 ， 而 不 是 每 次 重启 容器 IP 地 址 都 会 变 ? 


D orNAME> 命 令 。 


答 : 目前 Docker 并 没有 提供 直接 的 对 容器 IP 地 址 的 管理 支持 ， 用 户 可 以 参考 本 书 第 20 章 “网 络 配 置 ” 中 介绍 的 创建 点 对 点 连接 例子 ， 来 手动 配置 容器 的 静态 IP。 或 者 在 启动 容器 后 ， 再 手动 进行 修改 。 


还 可 参考 后 面 “ 其 他 ”类 的 问题 “如 何 进入 Docker 容 器 的 网 络 命名 空间 ?“ 
7 如 何 临时 退出 一 个 正在 交互 的 容器 的 终端 ， 而 不 终止 它 ? 


答 : 按 Ctrl-p Ctrl-q。 如 果 按 Ctrl-c 往 往 会 让 容器 内 应 用 进程 终止 ， 进 而 会 终止 容器 。 


8. 使 用 docker port 命 令 映 射 容 器 的 端口 时 ， 系 统 报错 “Error: No public port '80' published for xxx” ， 人 怎么 办 ? 


答 : 创建 镜像 时 Dockerfile 要 通过 EXPOSE 命 令 指定 正确 的 开放 端口 ; 容器 启动 时 指定 PublishAllPort=true。 


9. 可 以 在 一 个 容器 中 同时 运行 多 个 应 用 进程 么 ? 


口 


答 : 一 般 并 不 推荐 在 同一 个 容器 内 运行 多 个 应 用 进程 。 如 果 有 类 似 需求 ， 可 以 通过 一 些 额外 的 进程 管理 机 制 ， 比 如 supervisord 来 管理 所 运行 的 进程 。 可 以 参 


考 https://docs.docker.com/articles/using_supervisord/。 


10 .如 何 控制 容器 占用 系统 资源 (CPU、 内 存 ) 的 份额 ? 


答 : 在 使 用 docker create 命 令 创建 容器 或 使 用 docker run 创 建 并 启动 容器 的 时 候 ， 可 以 使 
内 存 的 大 小 。 


A.3 仓库 相关 


1. 仓 库 (Repository) 、 注 册 服 务 器 (Registry) 、 注 册 索引 (Index) 之 间 有 何 关系 ? 


-c|--cpu-shares[=0] 参 数 来 调整 容器 使 用 CPU 的 权重 ; 使 用 -m|--memory[=MEMORY] 参 数 来 调整 容器 使 


首先 ， 仓 库 是 存放 一 组 关联 镜像 的 集合 ， 比 如 同一 个 应 用 的 不 同 版 本 的 镜像 。 注 册 服 务 器 是 存放 实际 的 镜像 文件 的 地 方 。 注 册 索 引 负 责 维护 用 户 的 账号 、 权 限 、 搜 索 、 标 签 等 的 管理 。 因 此 ， 注 册 服 务 


器 利用 注册 索引 来 实现 认证 等 管理 。 


2. 从 非 官方 仓库 (例如 non-official-repo.com) 下 载 镜像 时 候 ， 有 时 候 会 提示 “Error: Invalid registry endpoint https://non-official-repo.com/v1/.…..”， 怎 么 办 ? 


答 : Docker 自 1.3.0 版 本 往 后 ， 加 强 了 对 镜像 安全 性 的 验证 ， 需 要 添加 私有 仓库 证 书 ， 或 者 手动 添加 对 非 官方 仓库 的 信任 。 编 辑 Docker 配 置 文件 ， 在 其 中 添加 : DOCKER_OPTS="--insecure-registry 


non-official-repo" 之 后 ， 重 启 Docker 服 务 即 可 。 


A.4 配置 相关 


1.Docker 的 配置 文件 放 在 哪里 ， 如 何 修改 配置 ? 


答 : 使 用 upstart 的 系统 (如 Ubuntu 14.04) 的 配置 文件 在 /etc/default/docker， 使 用 systemd 的 系统 (如 Ubuntu 16.04、Centos 等 ) 的 配置 文件 


在 /etc/systemd/system/docker.service.d/docker.conf。 


Ubuntu 下 面 的 配置 文件 内 容 如 下 ， 读 者 可 以 参考 配 。 (如 果 出 现 该 文件 不 存在 的 情况 ， 重 启 或 者 自己 新 建 一 个 文件 都 可 以 解决 。) 


# Customize location of Docker binary (especially for development testing). 
#DOCKERD=" /usr/local/bin/dockerd" 

# Use DOCKER OPTS to modify the daemon startup options. 

#DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4" 

# If you need Docker to use an HTTP proxy, it can also be specified here. 
#export http proxy="http://127.0.0.1:3128/™ 

# This is also a handy place to tweak where Docker's temporary files go. 
#export TMPDIR="/mnt/bigdrive/docker-tmp" 


2. 如 何 更 改 Docker 的 默认 存储 位 置 ? 


答 : Docker 的 默认 存储 位 置 是 /vaVlib/docker， 如 果 希 望 将 Docker 的 本 地 文件 存储 到 其 他 分 


例如 ， 如 下 操作 将 默认 存储 位 置 迁移 到 /storage/docker。 


区 ， 可 以 使 用 Linux 软 连接 的 方式 来 完成 ， 或 者 在 启动 daemon 时 通过 -9 参数 指定 。 


[root@s26 ~]# df -h 


Filesystem Size Used Avail Uses Mounted on 
/dev/mapper/VolGroup-lv root 50G 5.3G 42G 12%/ 

tmpfs 了 48G 228K 48G 1% /dev/shm 
/dev/sdal 485M 40M 420M 9% /boot 


/dev/mapper/VolGroup-lv home 222G 188M 210G 1% /home 


/dev/sdb2 


2.7T 323G 2,3T 13% /stor 


age 


[root@s26 ~]# service docker stop 

[root@s26 ~]# cd /var/lib/ 

[root@s26 lib]# mv docker /storage/ 

[root@s26 lib]# ln -s /storage/docker/ docker 

[root@s26 lib]# 1s -la docker 

lrwxrwxrwx. 1 root root 15 11 月 17 13:43 docker -> /storage/docker 
[root@s26 lib]# service docker start 


3. 使 用 内 存 和 swap 限 制 启动 容器 时 候 收 到 警告 : “WARNING: Your kernel does not support cgroup swap limit.WARNING: Your kernel does not support swap limit capabilities.Limitation 
discarded.”， 怎 么 办 ? 


答 : 这 是 因为 系统 默认 没有 开启 对 内 存 和 swap 使 用 的 统计 功能 ， 引 入 该 功能 会 带 来 性 能 的 下 降 。 要 开启 该 功能 ， 可 以 采取 如 下 操作 : 


1) 编辑 /etc/default/grub 文 件 (Ubuntu 系统 为 例 ) ， 配 置 GRUB_CMDLINE LINUX="cgroup_enable=memory swapaccount=1"; 
2) 更 新 grub: $sudo update-grub; 


3) 重启 系统 即 可 。 


A.5 ”Docker 与 虚拟 化 


1.Docker 与 LXC (Linux Container) 有 何不 同 ? 


答 : LXC 利 用 Linux 上 相关 技术 实现 了 容器 。Docker 则 在 如 下 的 几 个 方面 进行 了 改进 : 


' 移植 性 : 通过 抽象 容器 配置 ， 容 器 可 以 实现 从 一 个 平台 移植 到 另 一 个 平台 ; 

“ 镜像 系统 : 基于 AUFS 的 镜像 系统 为 容器 的 分 发 带 来 了 很 多 的 便利 ， 同 时 共同 的 镜像 层 只 需要 存储 一 份 ， 实 现 高 效率 的 存储 ; 

“ 版 本 管理 : 类 似 于 Git 的 版 本 管理 理念 ， 用 户 可 以 更 方便 地 创建 、 管 理 镜像 文件 ; 

“ 仓库 系统 : 仓库 系统 大 大 降低 了 镜像 的 分 发 和 管理 的 成 本 ; 

“ 周边 工具 : 各 种 现 有 工具 (配置 管理 、 云 平台 ) 对 Docket 的 支持 ， 以 及 基于 Docker 的 PaaS、CI 等 系统 ， 让 Docker 的 应 用 更 加 方便 和 多 样 化 。 
2.Docker 与 Vagrant 有 何不 同 ? 


答 : 两 者 的 定位 完全 不 同 。 


Vagrant 类 似 Boot2Docker (一 款 运 行 Docker 的 最 小 内 核 ) ， 是 一 套 虚拟 机 的 管理 环境 。Vagrant 可 以 在 多 种 系统 上 和 虚拟 机 软件 中 运行 ， 可 以 在 Windows、Mac 等 非 Linux 平 台 上 为 Docker 提 供 支 
持 ， 自 身 具有 较 好 的 包装 性 和 移植 性 。 


原生 的 Docker 只 能 运行 在 Linux 平 台 上 ， 但 启动 和 运行 的 性 能 都 比 虚拟 机 要 快 ， 往 往 更 适合 快速 开发 和 部 署 应 用 的 场景 。 


简单 说 : Vagrant 适 合用 来 管理 虚拟 机 ， 而 Docker 适 合用 来 管理 应 用 环境 。 


3. 开 发 环境 中 Docker 和 Vagrant 该 如 何 选择 ? 


答 : Docker 不 是 虚拟 机 ， 而 是 进程 隔离 ， 对 于 资源 的 消耗 很 少 ， 但 是 目前 需要 Linux 环 境 支持 。Vagrant 是 虚拟 机 上 做 的 封装 ， 虚 拟 机 本 身 会 消耗 资源 。 


如 果 本 地 使 用 的 是 Linux 环 境 ， 推 荐 都 使 用 Docker。 


如 果 本 地 使 用 的 是 OSX 或 者 Windows 环 境 ， 那 就 需要 开 虚 拟 机 ， 单 一 开发 环境 下 Vagrant 更 简单 ;多 环境 开发 下 推荐 在 Vagrant 里 面 再 使 用 Docker 进 行 环境 隔离 。 


A.6 其 他 


1.Docker 能 在 非 Linux 平 台 (比如 Windows 或 MacOS) 上 运行 么 ? 


答 : 可 以 。 目 前 需要 使 用 docker for mac、boot2docker 等 软件 创建 一 个 轻 量 级 的 Linux 虚 拟 机 


加 


2. 如 何 将 一 台 宿 主 主机 的 docker 环 境 迁 移 到 另外 一 台 宿 主 主机 ? 


答 : 停止 Docker 服 务 。 将 整个 Docker 存 储 文件 夹 复制 到 另外 一 台 宿 主 主机 ， 然 后 调整 另外 一 台 宿 主 主机 的 配置 即 可 。 


3. 如 何 进 入 Docker 容 器 的 网 络 命名 空间 ? 


答 : Docker 在 创建 容器 后 ， 删 除了 宿主 主机 上 /var/run/netns 目 录 中 的 相关 网 络 命名 空间 文件 。 因 此 ， 在 宿主 主机 上 是 无 法 看 到 或 访问 容器 的 网 络 命名 空间 的 。 用 户 可 以 通过 如 下 方法 来 手动 恢复 它 : 


1) 使 用 下 面 的 命令 查看 容器 进程 信息 ， 比 如 这 里 的 1234: 


$ docker inspect --format='{{. State.Pid}} ' $container id 
1234 


2) 在 /proc 目 录 下 ， 把 对 应 的 网 络 命名 空间 文件 链接 到 /var/run/netns 目 录 。 


$ sudo ln -s /proc/1234/ns/net /var/run/netns/ 


3) 在 宿主 主机 上 就 可 以 看 到 容器 的 网 络 命 名 空间 信息 。 例 如 : 


$ sudo ip netns show 
1234 


此 时 ， 用 户 可 以 通过 正常 的 系统 命令 来 查看 或 操作 容器 的 命名 空间 了 。 例 如 修改 容器 的 IP 地 址 信息 为 172.17.0.100/16: 


$ sudo ip netns exec 1234 ifconfig eth0 172.17.0.100/16 


附录 B ”Docker 命 令 查 询 


B.1 基本 语法 


Docker 命 令 有 两 大 类 ， 客 户 端 命令 和 服务 端 命令 。 前 者 是 主要 的 操作 接 


， 后 者 用 来 启动 Docker daemon。 


“ 客户 端 命令 基本 格式 为 : docker [OPTIONS] COMMAND [arghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16033/OEBPS/Text/...] 


“ 服务 端 命令 基本 格式 为 : docker daemon [OPTIONS]。 


可 以 通过 man docker 或 docker help 来 查看 这 些 命 令 。 


B.2 ”客户 端 命 令 选项 


选 项 
-~-Config="" 


-D=true|false 


-H, --host=[] 


-1], --log-level= "debug|infol| 
warn|errorl|fatal" 

--tls=true|false 

--tlscacert= /.docker/ca.pem 

--tlscert= /.docker/cert.penm 

--tlscert= /.docker/key.pem 


--tlsverify=truel|false 


B.3 ”daemon 命令 选项 


说 有 明 
指定 客户 端 配置 文件 ， 默 认为 / .docker 
是 否 使 用 debug 模式 。 默 认 不 开启 
指定 命令 对 应 Docker daemon 的 监听 接口 ， 可 以 为 unix 套 接 
字 (unix:/W/path/to/socket)， 文 件 句 柄 (fd://socketfd) 或 tcp 套 接 字 
(tcp:W[host[:port]] )， 默 认为 unix:///var/run/docker.sock 


指定 日 志 输 出 级 别 


是 否 对 Docker daemon 启用 TLS 安全 机 制 ， 默 认为 否 
TLS CA 签名 的 可 信 证 书 文件 路 径 

TLS 可 信 证 书 文件 路 径 

TLS 密 钥 文件 路 径 

启用 TLS 校 验 ， 默 认为 否 


选 项 


--api-cors-header= 


-~-~authorization-plugin="" 


-b="" 


--bip=" " 


-~-cgroup~parent= 


--cCluster-store= 


LL 


LL 


--cluster-advertise= 


--cluster-store-opt= 


--conf ig-file="/etc/docker/ 


daemon.json" 


--containerd= 


-D, 


--debug=true|false 


-~-default-gateway= 


--default-gateway-v6="" 


--default-ulimit=|[] 


-~-disable-legacy-registry=truel| 


false 


-~-dns="" 


--dns-opt="" 


--dns-search=[] 


-~-exec-opt=|[] 
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--fixed-cidr= 


--fixed-cidr-v6="" 


-G, 


-g, 


-H, 


--icc=true|false 


--group= 


--graph="" 


--host=[] 


mm 


mm 


--insecure-registry=[] 


--ip 
--ip-forward=true |false 


-~-ip-masq=true|false 


说 阴 
CORS 头 部 域 ， 默认 不 允许 访问 CORS， 要 允许 任意 的 跨 域 访 


间 ， 可 以 指定 为 “*” 


载 人 认证 的 插件 
将 容器 挂 载 到 一 个 已 存在 的 网 桥 上 。 指 定 为 'none' 时 则 禁用 容 


器 的 网 络 ， 与 --bip 选项 互 斥 


让 动态 创建 的 docker0 网 桥 采 用 给 定 的 CIDR 地 址 ; 与 -b 选 项 


互 斥 


指定 cgroup 的 父 组 ， 默 认 fs cgroup 情况 下 为 /docker，systemd 


cgroup 情况 下 为 system .slice 


构成 集群 (如 Swarm) 时 ， 集 群 键 值 数 据 库 服务 地 址 
构成 集群 时 ， 自 身 的 被 访问 地 址 ， 可 以 为 host:por 或 interface:port 
构成 集群 时 ， 键 值 数据 库 的 配置 选项 


daemon 配置 文件 路 径 


containerd 文件 的 路 径 

是 否 使 用 Debug 模式 ， 默 认为 false 

容器 的 IPv4 网 关 地 址 ， 必 须 在 网 桥 的 子 网 段 内 
容器 的 IPv6 网 关 地 址 

默认 的 ulimit 值 


是 否 允 许 访问 旧版 本 的 镜像 仓库 服务 器 


指定 容器 使 用 的 DNS 服务 器 地 址 

DNS 选项 

DNS 搜索 域 

运行 时 的 执行 选项 

容器 执行 状态 文件 的 根 路 径 ， 默 认为 /var/run/docker 
限定 分 配 IPv4 地 址 范围 

限定 分 配 IPv6 地 址 范围 

分 配给 unix 套 接 字 的 组 ， 默 认为 docker 

Docker 运行 时 的 根 路 径 ， 默 认为 /varlibydocker 

指定 命令 对 应 Docker daemon 的 监听 接口 ， 可 以 为 unix 套 接 字 


{ unix:/Wpathyto/socket)， 文 件 句 栖 (fd:Wsocketfd) 或 tcp 套 接 字 
{tcp:W[host[:port])， 默 认为 unix:Wvar/run/dockersock 


是 否 启用 容器 间 以 及 跟 daemon 所 在 主机 的 通信 。 默 认为 true 
允许 访问 给 定 的 非 安全 仓库 服务 

绑 定 容器 端口 时 候 的 默认 IP 地 址 。 默 认为 0.0.0.0 

是 否 检 查 启 动 在 Docker 主机 上 的 启用 IP 转 发 服务 ， 默认 开 


启 。 注意 关闭 该 选项 将 不 对 系统 转发 能 力 进行 任何 检查 修改 


是 否 进行 地 址 伪装 ， 用 于 容器 访问 外 部 网 络 ， 默 认 开 启 


( 续 ) 


选 项 说 明 
--iptables=true|false 是 否 允 许 Docker 添加 iptables 规则 。 默 认为 true 
--ipv6=true|false 是 否 启 用 IPv6 支持 ， 默 认 关 闭 
-1, --log-level="debug|infolwarnl| 


指定 日 志 输 出 级 别 


errorl|fatal" 
--label="[]" 添加 指定 的 键 值 对 标注 
--log-driver="json-file|syslogl| 
journald|gelf|fluentd|awslogs|splunk| 指定 日 志 后 端 驱 动 ， 默 认为 json-file 


etwlogs|lgcplogs|none" 


--log-opt=[] 日 志 后 端的 选项 

--mtu=VALUE 指定 容 帮 网 络 的 mtu 

-p="" 指定 daemon 的 PID 文件 路 径 。 默 认为 /var/run/docker.pid 

--raw-logs 输出 原始 、 未 加 分 析 的 日 志 信息 

--registry-mirror=:// 指定 docker pull 时 使 用 的 注册 服务 器 镜像 地 址 

-s, --storage-driver="" 指定 使 用 给 定 的 存储 后 端 

--selinux-enabled=true|false 是 否 局 用 ek 上 
持 overlay 存储 驱动 

--storage-opt=[] 驱动 后 端 选项 

--tls=true|false 是 否 对 Docker daemon 启用 TLS 安全 机 制 ， 默 认为 否 

--tlscacert= /.docker/ca.pem TLS CA 签名 的 可 信 证 书 文件 路 径 

--tlscert= /.docker/cert.pem TLS 可 信 证 书 文件 路 径 

--tlscert= /.docker/key.pem TLS 密 钥 文件 路 径 

--tlsverify=true|false 启用 TLS 校 验 ， 默认 为 否 

oe ee 是 否 使 用 用 户 态 代理 来 实现 容器 间 和 出 容 融 的 回环 通信 ， 默 认 
为 true 

--userns-remap=defaultluid:gidlu| 指定 容器 的 用 户 命名 空间 ， 上 默认 是 创建 新 的 UID 和 GID 映射 

ser:groupluserluid 到 容 需 内 进程 


B.4 ”客户 端 命令 


可 以 通过 man docker-COMMAND 或 docker help COMMAND 来 查看 这 些 命 令 的 具体 用 法 。 


命 令 说 明 
attach 依附 到 一 个 正在 运行 的 容器 中 

build 从 一 个 Dockerfile 创建 一 个 镜像 

commit 从 一 个 容 需 的 修改 中 创建 一 个 新 的 镜像 

cp 在 容器 和 本 地 宿主 系统 之 间 复 制 文件 
Create 创建 一 个 新 容器 ， 但 并 不 运行 它 


diff 检查 一 个 容 需 内 文件 系统 的 变更 ， 包 括 修 改 和 增加 


命 令 
events 
EXec 
export 
history 
images 
import 
info 
inspect 
kill 
load 
login 
logout 
logs 
Network 
node 
pause 
port 

ps 

pull 
push 
rename 
restart 


rm 


SaVe 
search 
service 
start 
stats 
stop 
Swarm 
tag 

top 
unpause 
update 
version 
volume 


wait 


B.5 一 张 图 总 结 Docker 的 命令 


从 服务 端 获取 实时 的 事件 

在 运行 的 容器 内 执行 命令 

导出 容器 内 容 为 一 个 tar 包 

显示 一 个 镜像 的 历史 信息 

列 出 存在 的 镜像 

导入 一 个 文件 (典型 为 tar 包 ) 路 径 或 目录 来 创建 一 个 本 地 镜像 
显示 一 些 相关 的 系统 信息 

显示 一 个 容器 的 具体 配置 信息 

关闭 一 个 运行 中 的 容器 (包括 进程 和 所 有 相关 资源 ) 

从 一 个 tar 包 中 加 载 一 个 镜像 

注册 或 登录 到 一 个 Docker 的 仓库 服务 器 

从 Docker 的 仓库 服务 器 登 出 

获取 容器 的 1og 信息 

管理 Docker 的 网 络 ， 包 括 查 看 、 创 建 、 删 除 、 挂 载 、 卸 载 等 


站 


管理 swarm 集群 中 的 节点 ,包括 查看 、 更 新 、 删 除 、 提 升 / 取消 管理 节点 等 


暂停 一 个 容器 中 的 所 有 进程 

查找 一 个 nat 到 一 个 私有 网 口 的 公共 口 

列 出 主机 上 的 容器 

从 一 个 Docker 的 仓库 服务 器 下 拉 一 个 镜像 或 仓库 

将 一 个 镜像 或 者 仓库 推送 到 一 个 Docker 的 注册 服务 器 
重 命名 一 个 容器 

重启 一 个 运行 中 的 容 咽 

删除 给 定 的 若干 个 容器 

删除 给 定 的 若干 个 镜像 

创建 一 个 新 容器 ， 并 在 其 中 运行 给 定 命 令 
保存 一 个 镜像 为 tar 包 文件 

在 Docker index 中 搜索 一 个 镜像 

管理 Docker 所 局 动 的 应 用 服务 ， 包括 创建 、 更 新 、 删 除 等 
启动 一 个 容器 

输出 (一 个 或 多 个 ) 容器 的 资源 使 用 统计 信息 

终止 一 个 运行 中 的 容器 

管理 Docker swarm 集群 ,包括 创建 、 加 入 、 退 出 、 更 新 等 
为 一 个 镜像 打 标签 

查看 一 个 容器 中 正在 运行 的 进程 信息 

将 一 个 容器 内 所 有 的 进程 从 暂停 状态 中 恢复 

更 新 指定 的 若干 容器 的 配置 信息 

输出 Docker 的 版 本 信息 

管理 Docker volume， 包 括 查看 、 创 建 、 删 除 等 

阻塞 直到 一 个 容器 终止 ， 然 后 输出 它 的 退出 符 


自 
D n 
olume 
event, help, info, version 


“es inspect, Is, rm 
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top ss 


sp 
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TT L a ml tag ~ @; = Tar fi 
, init, join-token, updal ~ < 一 一 Load | import 一 arfile 
4 人 attach, cp, diff, exec 
Swarm | 
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Container 


附录 C 参考 资源 链接 


官方 网 站 
Docker 官 方 主页 : https://www.docker.com 
Docker 官 方 博客 : https://blog.docker.com/ 
Docker 官 方 文档 : https://docs.docker.com/ 
Docker Hub: https://hub.docker.com 
Docker 的 源 代码 仓库 : https://github.com/docker/docker 
Docker 发 布 版 本 历史 : https://docs.docker.com/release-notes/ 


Docker 常 见 问题 : https://docs.docker.com/engine/faq/ 


Docker 远 端 应 用 API: https://docs.docker.com/reference/api/docker_remote api/ 


实践 参考 


Dockerfile 参 考 : https://docs.docker.com/reference/builder/ 


Dockerfile 最 佳 实践 : https://docs.docker.com/engine/userguide/eng-image/Dockerfile best-practices/ 


技术 交流 


Docker 邮 件 列表 : https://groups.google.com/forum/#!forum/docker-user 


Docker 的 IRC 频 道 : https://chat.freenode.net#docker 


Docker 的 Twitter 主 页 : https://twitter.com/docker 


其 他 资源 


Docker 的 StackOverflow 问 答 主 页 : https://stackoverflow.com/search?q=docker 


